1.1.1  Allmänt

Europaparlamentet och rådet antog den 13 juni 2024 förordning (EU) 2024/1689 om harmoniserade regler för artificiell intelligens och om ändring av vissa unionslagstiftningsakter ( AI-förordningen , nedan även förordningen ). Syftet med förordningen är att säkerställa att de system för artificiell intelligens som släpps ut på marknaden eller tas i bruk inom EU inte äventyrar människors hälsa, säkerhet eller grundläggande fri- och rättigheter. Genom förordningen skapas enhetliga regler inom EU för tillhandhållande och ibruktagande av system för artificiell intelligens. Regelverket koncentrerar sig särskilt på de skadligaste fallen av användning av artificiell intelligens, bland annat ska de mest skadliga användningsfallen vara förbjudna, och det ställs strängare krav på sådana system för artificiell intelligens som anses medföra höga risker. Förordningen trädde i kraft den 2 augusti 2024 och börjar tillämpas i etapper. Förordningen är i princip direkt tillämplig rätt i medlemsstaterna, men den kräver också kompletterande nationell lagstiftning. Medlemsstaterna ska utse de nationella myndigheter som ska övervaka förordningen och fastställa deras befogenheter enligt förordningen senast den 2 augusti 2025.  

Enligt regeringsprogrammet för statsminister Petteri Orpos regering arbetar den aktivt och med framförhållning för att EU-regleringen av plattformsekonomin, artificiell intelligens, data och digitalisering utvecklas i en möjliggörande, balanserad och för Finland gynnsam riktning där ytterligare nationell reglering minimeras. 

1.1.2  Den internationella referensramen för reglering och hantering av artificiell intelligens

Riskerna med och regleringen av artificiell intelligens (AI) har en central roll på den politiska agendan i världen. Det finns olika sätt att närma sig regleringen. Vissa AI-tillämpningar är förbjudna i vissa stater, på andra ställen har man stött sig på den befintliga regleringsramen eller skapat egna regleringsramar för artificiell intelligens. Dessutom har man kunnat kombinera utnyttjandet av befintlig reglering och skapandet av ny sådan och utarbetat en viss AI-reglering vid sidan av befintliga referensramar och samtidigt främjat fri företagsverksamhet och god praxis. Det bästa exemplet på det sistnämnda torde vara Förenta staterna, där det har förts en aktiv politisk diskussion om artificiell intelligens, riskhantering och nödvändig reglering. Exempelvis delstaten Kalifornien har hösten 2024 både antagit en lag om transparens hos data som används för träning av generativ AI (Assembly Bill No. 2013) och stoppat en lag som skulle ha reglerat riskhanteringen i fråga om stora avancerade AI-modeller (Senate Bill No. 1047). Efter att president Trump kommit till makten ersatte han sin föregångares presidentorder om AI med sin egen. 

På den internationella politiska agendan syns artificiell intelligens genom såväl nya initiativ som befintliga strukturer. Den AI-rekommendation (AI Principles) som OECD:s ministerråd antog i maj 2019 var det första rättsliga instrumentet för AI som antogs av en internationell organisation och den antogs som sådan även av G20 som dess AI-rekommendation. OECD:s rekommendation hade sedermera ett betydande inflytande på innehållet i FN:s organisation för utbildning, vetenskap och kultur Unescos rekommendationen om AI-etik. Dessutom har rekommendationens definitioner utnyttjats vid utvecklandet av EU:s AI-rättsakt. Rekommendationen uppdateras och moderniseras som bäst, eftersom den är fem år gammal och den tekniska utvecklingen är snabb. OECD:s AI-rekommendation innehåller anvisningar om att utveckla tillförlitliga, människonära och säkra AI-system. Förutom allmänna principer innehåller den anvisningar om riktlinjer för nationell reglering och AI-policy samt uppmuntran till intensivt internationellt samarbete. OECD följer utvecklingen av artificiell intelligens särskilt inom ramen för organisationens arbetsgrupp för artificiell intelligens, och samlar vid behov företrädare för företag och andra intressentgrupper för att diskutera den globala utvecklingen och globalt samarbete. 

OECD har en central betydelse för att samla likasinnade länder samt utveckla och analysera kunskapsunderlaget för artificiell intelligens. OECD strävar också efter att utvidga samarbetet mellan länder som godkänner etiska principer för artificiell intelligens. Samarbete ha bedrivits t.ex. inom ramen för det globala AI-partnerskapet GPAI som startade som ett G7-initiativ med särskild fokus på forskningssamarbete, och som numera är känt under namnet Integrated Partnership on AI.  

Europarådets ramkonvention om artificiell intelligens och mänskliga rättigheter, demokrati och rättsstaten, som godkändes i maj 2024, är viktig bl.a. därför att den är rättsligt bindande. Strävan med ramkonventionen är att fastställa hur mänskliga rättigheter, demokrati och rättsstatsprincipen åtminstone ska skyddas när artificiell intelligens och AI-baserade tillämpningar utvecklas och används. Ramkonventionen uppmuntrar också till innovationer. Till den del som ramkonventionen även kommer att täcka enskilda aktörer, erbjuder den de aktörer som är verksamma på AI-marknaden den förutsägbarhet de behöver i områden som omfattas av avtalsparternas behörighet. Enligt kommissionens uppskattning är konventionen helt och hållet förenlig med unionsrätten och särskilt AI-förordningen, och den främjar de centrala begreppen hos unionens sätt att närma sig AI-regleringen globalt bland Europarådets övriga medlemmar och deras viktigaste internationella partner som kan bli avtalsparter i konventionen. Detta främjar lika konkurrensvillkor för företagen inom AI-teknik på ett större område än EU:s inre marknad. 

Internationell konvergens i fråga om strukturer och ramverk för att hantera artificiell intelligens bör understödas och pågår. Exempelvis i Kaliforniens ovannämnda AI-lag ”AB-2013 Generative artificial intelligence: training data transparency” används en liknande definition av artificiell intelligens som i EU:s AI-förordning, Europarådets ramkonvention och OECD:s AI-rekommendationer. Det finns också möjligheter till konvergens i anslutning till standarder.  

1.2.1  Beredning av EU-rättsakten

Europeiska kommissionen (nedan även kommissionen) offentliggjorde den 21 april 2021 ett förslag till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens och om ändring av vissa unionslagstiftningsakter. I samband med förslagen offentliggjorde kommissionen en konsekvensbedömning gällande förslagen. Förslaget till förordning baserar sig på kommissionens meddelande av den 19 februari 2020 om EU:s digitala framtid, meddelandet från kommissionen om en EU-strategi för data och kommissionens vitbok om artificiell intelligens (COM (2020) 65 final, statsrådets utredning E 24/2020 rd). Innan förslaget överlämnades ordnade kommissionen ett offentligt samråd om vitboken om artificiell intelligens. Utifrån resultaten av samrådet planerade kommissionen ytterligare åtgärder för att stödja de åtgärder för att utveckla tillförlitlig artificiell intelligens som beskrivs i vitboken. Finlands ståndpunkter till vitboken om artificiell intelligens linjerades i statsrådets utredning (E 24/2020 rd). Finlands svar på kommissionens offentliga samråd om vitboken om artificiell intelligens har offentliggjorts på kommissionens webbplats: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12270-White-Paper-on-Artificial-Intelligence-a-European-Approach/public-consultation_fi 

Statsrådet lämnade den 27 maj 2021 en U-skrivelse U 28/2021 rd till riksdagen om kommissionens förslag till AI-förordning samt därefter två kompletterande U-skrivelser ( UJ 29/2022 rd , 26.10.2022 och UJ 22/2023 rd , 8.9.2023). I riksdagen behandlades förslaget till förordning av följande utskott: stora utskottet, kommunikationsutskottet, grundlagsutskottet, förvaltningsutskottet, framtidsutskottet, lagutskottet, försvarsutskottet, kulturutskottet och ekonomiutskottet. Riksdagsutskottens utlåtanden finns på riksdagens webbplats: https://www.eduskunta.fi/SV/vaski/KasittelytiedotValtiopaivaasia/Sidor/U_28+2021.aspx 

Förslaget behandlades i rådets arbetsgrupp för telekommunikation och informationssamhället från våren 2021 till början av 2024. Rådet antog sin allmänna riktlinje om förordningen den 6 december 2022. Europaparlamentet bekräftade sin ståndpunkt till förslaget till förordning den 14 juni 2023.  

Arbets- och näringsministeriet har under åren 2021–2023 ordnat flera sammankomster för intressentgrupper om hur beredningen av förordningen framskrider. 

1.2.2  Beredningen av propositionen

Arbets- och näringsministeriet tillsatte den 25 april 2024 en arbetsgrupp för att bereda genomförandet av AI-förordningen i Finland. Arbetsgruppens mandatperiod är 29 april 2024–30 juni 2026. Arbetsgruppen utarbetade sitt betänkande i form av en regeringsproposition. Till arbetsgruppen hade kallats företrädare för inrikesministeriet, justitieministeriet, finansministeriet, social- och hälsovårdsministeriet, undervisnings- och kulturministeriet, kommunikationsministeriet och utrikesministeriet utöver arbets- och näringsministeriet. Arbetsgruppen har sammanträtt 16 gånger kring beredningen av denna proposition. Arbetsgruppens dokument finns i den offentliga tjänsten på adressen https://tem.fi/sv/projekt?tunnus=TEM044:00/2024 .  

Den 11 september 2024 ordnade arbets- och näringsministeriet en sammankomst för intressentgrupperna om det nationella genomförandet av AI-förordningen. Dessutom ordnade ministeriet den 6 november 2024 en sammankomst för intressentgrupperna om den inledda remissbehandlingen av utkastet till regeringsproposition. 

Utkastet till regeringsproposition var ute på remiss under tiden 24 oktober–4 december 2024. Utkastet till regeringens proposition publicerades i tjänsten utlåtande.fi, där vem som helst hade möjlighet att yttra sig om propositionsutkastet. Begäran om utlåtande sändes till bl.a. olika ministerier, ämbetsverk, andra offentligrättsliga organisationer, kommuner och städer, företag, intresseorganisationer, föreningar samt Ålands landsskapsregering och Ålandsdelegationen. Sammanlagt 116 utlåtanden lämnades in av olika intressentgrupper. Responsen i remissvaren beskrivs i avsnitt 6. Beredningsunderlaget till regeringens proposition finns i den offentliga tjänsten på adressen https://tem.fi/sv/projekt?tunnus=TEM050:00/2024. 

I samband med beredningen av propositionen har Ålandsdelegationen enligt 5 § i själstyrelselagen för Åland (1144/1991) ombetts ge utlåtande om fördelningen av rikets och landskapets lagstiftningsbehörighet. 

Justitiekanslersämbetet kommenterade utkastet till regeringsproposition i samband med förhandsgranskningen i mars 2025. 

2.2.1  Tillämpningsområde

Bestämmelser om förordningens tillämpningsområde finns i artikel 2, och enligt punkt 1 är förordningen tillämplig på a) leverantörer som släpper ut AI-system på marknaden eller tar sådana i bruk eller släpper ut AI-modeller för allmänna ändamål på marknaden i unionen, oavsett om dessa leverantörer är etablerade eller befinner sig i unionen eller i ett tredjeland, b) tillhandahållare av AI-system som har sin etableringsort eller befinner sig i unionen, c) leverantörer och tillhandahållare av AI-system som har sin etableringsort eller befinner sig i ett tredjeland, om de utdata som produceras av AI-systemet används i unionen, d) importörer och distributörer av AI-system, e) produkttillverkare som på marknaden släpper ut eller som tar i bruk ett AI-system tillsammans med sin produkt och i eget namn eller under eget varumärke, f) ombud för leverantörer som inte är etablerade i unionen och g) berörda personer som befinner sig i unionen.  

Förordningen tillämpas också på unionens institutioner, organ och byråer när de agerar som leverantör eller tillhandahållare av ett AI-system (skäl 23 i ingressen). 

De skyldigheter som åläggs olika operatörer som ingår i AI-värdekedjan bör tillämpas utan att det påverkar nationell rätt i överensstämmelse med unionsrätten, med verkan att användningen av vissa AI-system begränsas när sådan rätt inte omfattas av den här förordningen eller eftersträvar andra legitima mål av allmänt intresse än dem som eftersträvas genom förordningen (skäl 9 i ingressen).  

Vissa AI-system ska omfattas av förordningen även om de inte släpps ut på marknaden, tas i bruk eller används i union. Förordningen ska tillämpas på leverantörer av AI-system på ett icke-diskriminerande sätt, oavsett om de är etablerade i unionen eller i ett tredjeland, och på tillhandahållare av AI-system som är etablerade i unionen (skäl 21 i ingressen). AI-system med hög risk omfattas av förordningen, om en operatör som är etablerad i unionen lägger ut vissa tjänster på entreprenad hos en operatör som är etablerad i ett tredjeland i fråga om en aktivitet som ska utföras av ett AI-system som skulle klassificeras som AI-system med hög risk. AI-systemet kan t.ex. behandla data som på lagligt sätt samlats in och överförts från unionen och förse den avtalsslutande operatören i unionen med utdata från detta AI-system som är resultatet av denna behandling, utan att det berörda AI-systemet släpps ut på marknaden, tas i bruk eller används i unionen (skäl 22 i ingressen). 

Avsikten med att förordningen utsträcks till leverantörer och tillhandahållare av AI-system som är etablerade i tredjeländer, i den utsträckning som de utdata som produceras av dessa AI-system är avsedda att användas i unionen, är att förhindra att skyldigheterna enligt förordningen kringgås och att säkerställa ett effektivt skydd av fysiska personer som befinner sig i unionen. 

Om ett AI-system eller en AI-modell släpps ut på marknaden eller tas i bruk till följd av forsknings- och utvecklingsverksamhet, är operatören skyldig att uppfylla kraven i förordningen. Även AI-system som används för forskning och utveckling i sig ska omfattas av bestämmelserna i förordningen, om de inte särskilt utvecklats och tagits i bruk enbart för vetenskaplig forskning och utveckling. I artikel 2.6 i förordningen ingår ett undantag som hänför sig till detta. Med stöd av artikel 2.8 är förordning tillämplig även på forsknings-, testnings- eller utvecklingsverksamhet för AI-system eller AI-modeller innan de släpps ut på marknaden när det är fråga om testning under verkliga förhållanden. 

Enligt artikel 2.10 tillämpas skyldigheterna för tillhandahållare på fysiska personer när dessa använder AI-system inom ramen för yrkesmässig verksamhet. Skyldigheterna är inte tillämpliga på AI-system som en person använder enbart i personlig verksamhet. 

Med stöd av artikel 2.12 är förordningen tillämplig på AI-system som släpps ut med kostnadsfria licenser med öppen källkod i situationer där de släpps ut på marknaden eller tas i bruk som ett AI-system med hög risk eller som ett AI-system som omfattas av artikel 5 eller 50 på vilket tillämpas förbjudna AI-användningsområden eller harmoniserade transparensregler. I andra situationer är förordningen inte tillämplig på AI-system som släpps ut med kostnadsfria licenser med öppen källkod. 

2.2.2  Undantag från tillämpningsområdet

Områden som inte omfattas av unionsrättens tillämpningsområde. Enligt artikel 2.3 är förordningen inte tillämplig på områden som inte omfattas av unionsrättens tillämpningsområde och ska under alla omständigheter inte påverka medlemsstaternas befogenheter när det gäller nationell säkerhet, oavsett vilken typ av enhet som av medlemsstaterna har anförtrotts uppgiften i fråga om dessa befogenheter. Det är inte möjligt att definiera unionsrättens tillämpningsområde uttömmande och entydigt. Unionsrätten tillämpas i enlighet med tredje delen i fördraget om Europeiska unionens funktionssätt på t.ex. den inre marknaden, fri rörlighet för varor, transporter, utbildning, folkhälsa, konsumentskydd, miljö, energi, socialpolitik och sysselsättning. Dessutom utgör Europeiska unionens stadga om de grundläggande rättigheterna en del av unionsrätten. Eftersom AI-förordningen handlar om marknadskontrollagstiftning, vars syfte är att säkerställa hälsa, säkerhet och de grundläggande fri- och rättigheterna i Europeiska unionen, omfattar den i praktiken nästan alla samhällsområden. Förordningens egentliga materiella skyldigheter gäller vissa AI-system som avses i kapitlen II, III och IV samt AI-modeller för allmänna ändamål som avses i kapitel V. Tydliga områden som står utanför unionsrättens tillämpningsområde är nationell säkerhet, försvar och militär verksamhet, och det explicita undantag från tillämpningsområdet som berör dem behandlas mer ingående senare.  

Operatörer i ett tredjeland. Enligt artikel 2.4 är förordningen inte tillämplig på offentliga myndigheter i ett tredjeland, eller på internationella organisationer, om dessa myndigheter eller organisationer använder AI-system inom ramen för internationellt samarbete eller internationella avtal om brottsbekämpande och rättsligt samarbete med unionen eller med en eller flera medlemsstater, förutsatt att ett sådant tredjeland eller en sådan internationell organisation erbjuder lämpliga skyddsåtgärder med avseende på skyddet av enskildas grundläggande rättigheter och friheter.  

Undantaget är tillämpligt på offentliga myndigheter i ett tredjeland och på internationella organisationer som agerar inom ramen för samarbete eller internationella avtal som ingåtts på unionsnivå eller nationell nivå och som avser brottsbekämpande och rättsligt samarbete med unionen eller medlemsstaterna. Förutsättningen är att det tredjeland eller den internationella organisation som berörs erbjuder tillräckliga skyddsåtgärder vad avser skyddet av enskildas grundläggande rättigheter och friheter. I relevanta fall kan detta omfatta verksamhet som bedrivs av enheter som av tredjeländerna fått i uppdrag att utföra särskilda uppgifter till stöd för sådant brottsbekämpande och rättsligt samarbete inom överenskomna ramar för samarbete eller bilaterala avtal. De myndigheter som är behöriga att utöva tillsyn över brottsbekämpande och rättsliga myndigheter enligt förordningen bör bedöma huruvida dessa ramar för samarbete eller internationella avtal innehåller lämpliga skyddsåtgärder med avseende på skyddet av enskildas grundläggande rättigheter och friheter. Nationella myndigheter och unionsinstitutioner, unionsbyråer och unionsorgan som använder utdata från AI-system i unionen förblir ansvariga för att säkerställa att användningen av dessa är förenlig med unionsrätten (skäl 22 i ingressen). 

AI-system för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet. Enligt artikel 2.3 är förordningen inte tillämplig på AI-system om och i den mån de släpps ut på marknaden, tas i bruk eller används med eller utan ändring uteslutande för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet, oavsett vilken typ av enhet som bedriver denna verksamhet. Förordningen är inte heller tillämplig på AI-system som inte släpps ut på marknaden eller tas i bruk i unionen, om utdata används i unionen uteslutande för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet, oavsett vilken typ av enhet som bedriver denna verksamhet. Förordning är inte heller tillämplig på AI-system om och i den mån de släpps ut på marknaden, tas i bruk eller används med eller utan ändring uteslutande för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet, oavsett vilken typ av enhet som bedriver denna verksamhet.  

Enligt skäl 24 i ingressen har AI-system för militära ändamål och försvarsändamål undantagits från förordningens tillämpningsområde, eftersom folkrättens regelverk, som tillämpas på artikel 4.2 i EU-fördraget och på särdragen i medlemsstaternas och unionens gemensamma försvarspolitik som omfattas av kapitel 2 i avdelning V i EU-fördraget, har ansetts vara den lämpligaste rättsliga ramen för reglering av dylika AI-system. AI-system som används för ändamål som rör nationell säkerhet har likaså undantagits från förordningens tillämpningsområde, eftersom nationell säkerhet helt och hållet faller under medlemsstaternas ansvarsområde i enlighet med artikel 4.2 i EU-fördraget och eftersom den särskilda karaktär och de operativa behov som verksamheten avseende nationell säkerhet har omfattas av särskilda nationella regler. 

Det väsentliga är dock det faktiska ändamålet med AI-systemet, för om ett AI-system som utvecklas, släpps ut på marknaden, tas i bruk eller används för militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet tillfälligt eller permanent används för andra ändamål, t.ex. civila eller humanitära ändamål, eller ändamål som rör brottsbekämpning eller allmän säkerhet, ska ett sådant system omfattas av förordningen. Om det finns flera samtidiga ändamål, och t.ex. om ett AI-system som släpps ut på marknaden eller tas i bruk för ett ändamål som är undantaget, dvs. militärt eller som rör försvar eller nationell säkerhet, och ett eller flera icke-undantagna ändamål, såsom civila ändamål eller brottsbekämpning, ska ett sådant system omfattas av förordningen. Då bör leverantörerna av dessa system säkerställa efterlevnad av förordningen. 

AI-system enbart för vetenskaplig forskning och utveckling. Enligt artikel 2.6 är förordningen inte tillämplig på AI-system eller AI-modeller, inbegripet deras utdata, som specifikt utvecklas och tas i bruk enbart i vetenskapligt forsknings- och utvecklingssyfte, och inte på forsknings-, testnings- eller utvecklingsverksamhet för AI-system eller AI-modeller innan de släpps ut på marknaden eller tas i bruk, med undantag av testning under verkliga förhållanden. Enligt skäl 25 i ingressen bör förordningen stödja innovation, respektera forskningens frihet och inte underminera forsknings- och utvecklingsverksamhet. AI-system och AI-modeller som utvecklats och tagits i bruk enbart för vetenskaplig forskning och utveckling undantas från tillämpningsområdet. Även produktorienterad forsknings-, testnings- och utvecklingsverksamhet avseende AI-system eller AI-modeller undantas från förordningens tillämpningsområde tills dessa system och modeller tas i bruk eller släpps ut på marknaden. Enligt förordningen bör forsknings- och utvecklingsverksamhet under alla omständigheter genomföras i enlighet med erkända etiska och yrkesmässiga standarder för vetenskaplig forskning och bör bedrivas i enlighet med tillämplig unionsrätt. I förordningen definieras inte vilka aktörers vetenskapliga forskning som avses. Det centrala förefaller vara att forskningen är uttryckligen vetenskaplig, dvs. den t.ex. uppfyller sådana kännetecken på vetenskaplig forskning som att den är systematisk, objektiv, verifierbar och kan upprepas. Dessutom är syftet med forskningen av betydelse; är syftet med forskningen rent vetenskapligt, varvid förordningen inte är tillämplig, eller är det att generera nytta utanför vetenskapen, t.ex. produktutveckling, varvid tillämpningen av förordningen är beroende av om det är fråga om en utvecklingsfas, varvid förordningen inte är tillämplig, eller utsläppande på marknaden eller ibruktagande, varvid förordningen är tillämplig.  

Fysiska personer. Enligt artikel 2.10 är förordningen inte tillämplig på skyldigheter för tillhandahållare som är fysiska personer och som använder AI-system inom ramen för en rent personlig icke-yrkesmässig verksamhet.  

Kostnadsfria AI-system med öppen källkod. Enligt artikel 2.12 ska förordningen inte tillämpas på kostnadsfria AI-system med öppen källkod, utom när de släppas ut på marknaden eller tas i bruk som AI-system med hög risk eller som sådana AI-system som avses i artikel 5 eller 50.  

2.5.1  Riskbaserad klassificering och etiska anvisningar

Förordningen grundar sig på riskbaserad klassificering av AI-system. Den riskbaserade metoden utgör grunden för en proportionell och effektiv uppsättning bindande regler i förordningen. Dessa reglers art och innehåll har anpassats till intensiteten och omfattningen av de risker som AI-systemen kan generera. Med risk avses enligt artikel 3.2 kombinationen av sannolikheten för skada och denna skadas allvarlighetsgrad. 

Genom förordningen förbjuds vissa oacceptabla AI-användningsområden, eftersom de anses vara särskilt skadliga och kränkande. AI-system med hög risk bör endast släppas ut på unionsmarknaden eller tas i bruk om de uppfyller vissa obligatoriska krav. Operatörer är skyldiga att försäkra sig om att AI-system med hög risk överensstämmer med kraven, så att systemen och deras utdata inte utgör någon oacceptabel risk för viktiga allmänna intressen för unionen eller för grundläggande rättigheter som erkänns och skyddas av unionsrätten. För vissa AI-system fastställs transparensskyldigheter. Enligt kommissionens etiska riktlinjer innebär transparens att AI-system utvecklas och används på ett sätt som möjliggör lämplig spårbarhet och förklarbarhet, samtidigt som människor informeras om att de kommunicerar eller interagerar med ett AI-system. Tillhandahållare ska vederbörligen informeras om AI-systemets kapacitet och begränsningar och personer som påverkas ska informeras om sina rättigheter. 

Europeiska kommissionens etiska riktlinjer för artificiell intelligens . Den oberoende AI-expertgruppen (AI HLEG), som utsetts av kommissionen, utarbetade 2019 etiska riktlinjer för tillförlitlig AI, vilkas syfte är att bidra till utformningen av konsekvent, tillförlitlig och människocentrerad AI, i linje med stadgan och de värden som unionen bygger på. Riktlinjerna bygger på sju icke-bindande etiska principer för AI som bör bidra till att säkerställa att AI är tillförlitlig och etiskt sund. De sju principerna omfattar mänskligt agentskap och mänsklig tillsyn, teknisk robusthet och säkerhet, integritet och dataförvaltning, transparens, mångfald, icke-diskriminering och rättvisa, samhällets och miljöns välbefinnande samt ansvarsskyldighet.  

Tillämpningen av dessa principer bör, när så är möjligt, omsättas i utformningen och användningen av AI-modeller. De ligger till grund för utarbetandet av uppförandekoder inom ramen för förordningen. Alla berörda parter, inbegripet industrin, den akademiska världen, det civila samhället och standardiseringsorganisationer, uppmanas att på lämpligt sätt beakta de etiska principerna för utveckling av frivillig bästa praxis och standarder. 

2.5.2  Begreppet AI-system

Enligt definitionen i artikel 3.1 avses med AI-system ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras. 

Europeiska kommissionen har med stöd av artikel 96 i AI-förordningen befogenhet att utarbeta riktlinjer för tillämpningen av definitionen av ett AI-system. Ett utkast till riktlinjer har publicerats i februari 2025, och de egentliga riktlinjerna förväntas publiceras under våren 2025. 

I begreppet artificiell intelligens har strävan varit att beakta centrala egenskaper hos AI-system som skiljer det från enklare traditionella programvarusystem eller programmeringsmetoder och inte omfatta system som bygger på de regler som fastställs endast av fysiska personer för att automatiskt utföra operationer. Utmärkande för AI är att producera utdata utifrån data som lämnas till eller anskaffas direkt av AI-systemet, dvs. indata (artikel 3.33) samt slutsatsförmåga (skäl 12 i ingressen). 

Enligt skäl 12 i ingressen har strävan varit att definiera begreppet AI-system tydligt och nära anpassat till det arbete som utförs av internationella organisationer som arbetar med AI för att säkerställa rättssäkerhet, underlätta internationell konvergens, och samtidigt ge flexibilitet för att hantera den snabba tekniska utvecklingen på detta område. Bakom definitionen ligger dokumentet ”A Definition of AI: Main Capabilities and Scientific Disciplines”, som utarbetades av Europeiska kommissionens högnivåexpertgruppen för artificiell intelligens (AI HLEG) i december 2018.  

Begreppet ’maskinbaserad’ avser det faktum att AI-system körs och utvecklas på maskiner. ”Maskin” kan i detta sammanhang betyda både den egentliga utrustning där AI-systemet körs, t.ex. en service, samt programvara, såsom en programmeringskod eller ett tillämpningsprogram. Centralt med tanke på definitionen är att det är fråga om beräkning, och inte med vilken tekniken maskinen har byggts eller med vilken teknik den fungerar. Hänvisningen till uttryckliga eller underförstådda mål understryker att AI-system kan fungera enligt uttryckliga definierade mål eller underförstådda mål. Med miljöer förstås som de sammanhang där AI-systemen är i drift. Utdata återspeglar olika funktioner som utförs av AI-system och inbegriper t.ex. förutsägelser och beslut. Utdata kan vara t.ex. deepfake, varmed enligt artikel 3.60 avses AI-genererat eller AI-manipulerat bild-, ljud- eller videoinnehåll som liknar existerande personer, föremål, platser, enheter eller händelser och som för en person felaktigt kan framstå som autentiskt eller sanningsenligt. Utdata kan också vara en åtgärd som berör en fysisk eller juridisk persons fördel eller rätt, dvs. ett beslut.  

Med slutsatsförmåga avses enligt skäl 12 i ingressen samt utkastet till kommissionens riktlinjer processen att erhålla utdata, såsom förutsägelser, innehåll, rekommendationer eller beslut, som kan påverka fysiska och virtuella miljöer och AI-systemens förmåga att härleda modeller eller algoritmer, eller både och, från indata eller data. Slutsatsförmåga är utmärkande för uttryckligen AI-system. De tekniker som gör inferens möjlig inbegriper metoder för maskininlärning för inlärning genom data om hur vissa mål uppnås, och logik- och kunskapsbaserade strategier som drar slutsatser av kodad kunskap om eller symbolisk representation av den uppgift som ska lösas. Eftersom AI-systems kapacitet att dra slutsatser går utöver ”traditionell” databehandling förmår de dra slutsatser genom inlärning, resonemang eller modellering. Centrala AI-tekniker som möjliggör slutsatsförmåga är olika typer av maskininlärning samt logik- och kunskapsbaserade system, som lär sig att dra slutsatser utifrån regler som utarbetats av fysiska personer. Skillnaden jämfört med regelbaserade system, som behandlas nedan, är att ett dylikt system ändå inte som sådant genomför regler, utan producerar dem självt utifrån regler som fastställts av fysiska personer och kan anpassa dem åtminstone med någon grad av autonomi. 

AI-system utformas för att fungera med varierande grad av autonomi, vilket innebär att de är oberoende av mänsklig kontroll i viss mån och har förmåga att fungera utan mänskligt ingripande. System som kräver fortlöpande mänskligt deltagande och ingripande är inte AI-system. Av detta kan ändå inte dras den omvända slutsatsen att ett system som inte alls kräver mänskligt deltagande vid driften alltid är AI-system, eftersom AI-system bedöms utifrån flera olika faktorer. AI-system kan också uppvisa någon grad av anpassningsförmåga, såsom förmåga att lära sig och förändras utifrån det inlärda efter ibruktagandet, men alla AI-system är inte nödvändigtvis anpassningsbara. 

AI-system kan användas fristående eller som komponent i en produkt, oavsett om systemet är fysiskt integrerat i produkten (inbyggt) eller tjänar produktens funktioner utan att vara integrerat i produkten (icke-inbyggt). Enligt artikel 3.14 avses med säkerhetskomponent en komponent som finns i en produkt eller i ett AI-system och som fyller en säkerhetsfunktion för den produkten eller det AI-systemet eller som, om den upphör att fungera eller fungerar felaktigt, medför fara för människors hälsa och säkerhet eller för egendom. 

AI-förordningen är i enlighet med sitt namn inte avsedd att gälla alla informationssystem, utan endast sådana nya tekniker som medför nya slags risker. Enligt skäl 12 i ingressen och utkastet till riktlinjer omfattar definitionen av AI-system inte system som bygger på de regler som fastställs endast av fysiska personer för att automatiskt utföra operationer. Avsikten är att detta ska fungera som ett exempel på vad som skiljer artificiell intelligens från enklare traditionella programvarusystem eller programmeringsmetoder (”basic data processing”). Som AI-system ska inte betraktas t.ex. ett system som används för att optimera systemets egen tekniska kapacitet. När det gäller definitionen av AI-system fäster utkastet till kommissionens riktlinjer särskild uppmärksamhet vid om det är fråga om etablerad teknisk som använts länge, eller om en helt ny teknik (sidan 8, stycke 42 i utkastet till riktlinjer). Centralt vid bedömningen av definitionen av AI-system är förutsägbarheten hos informationssystemets utdata. Om informationssystemets utdata bygger enbart på av fysiska personer fastställda regler, är utdata kända och kan förutses av de personer som fastställt reglerna. I denna mening kan automationen betraktas som en förlängning av de personers vilja som fastställt reglerna. När det gäller den nationella regleringen kan denna s.k. regelbaserad automation med stöd av 8 b kap. i förvaltningslagen används vid automatiserat avgörandeförfarande. Det är nödvändigt att spegla begreppet AI-system även mot automatiserat beslutsfattande. Automatiserat beslutsfattande behandlas nedan i avsnitt 3.9 Användning av AI och automation inom den offentliga förvaltningen. Till skillnad från när olika statistiska eller andra matematiska metoder och en stor mängd data används vid analys eller inferens, känner den personer som fastställt reglerna inte längre på samma sätt till systemets utdata på förhand.  

Begreppet AI-system i förhållande till begreppet AI-modeller för allmänna ändamål. Enligt förordningen är det viktigt definiera begreppet AI-modeller för allmänna ändamål tydligt och särskilja det från begreppet AI-system för att skapa rättssäkerhet. AI-modeller är väsentliga komponenter i AI-system, men de utgör inte AI-system i sig. AI-modeller kräver tillägg av ytterligare komponenter, till exempel ett användargränssnitt, för att bli AI-system. AI-modeller är vanligtvis integrerade i och utgör en del av AI-system. AI-modeller för allmänna ändamål tränas vanligtvis med stora mängder data genom olika metoder, såsom självövervakad inlärning, oövervakad inlärning eller återkopplingsinlärning. AI-modeller för allmänna ändamål får släppas ut på marknaden på olika sätt, bland annat genom bibliotek, gränssnitt för applikationsprogrammering, som direkt nedladdning eller som fysisk kopia. Dessa modeller kan ändras ytterligare eller finjusteras till nya modeller. Förordningen innehåller också regler för AI-modeller för allmänna ändamål och för AI-modeller för allmänna ändamål som medför systemrisker, vilka bör gälla även när dessa modeller är integrerade eller ingår i ett AI-system. (skäl 97 i ingressen). Dessa regler behandlas i avsnitt 2.5.9 AI-modeller för allmänna ändamål.  

2.5.3  AI-kunnighet

Enligt artikel 4 i AI-förordningen ska leverantörer och tillhandahållare av AI-system vidta åtgärder för att säkerställa att deras personal har tillräcklig AI-kunnighet. Vid bedömningen av om personalen har tillräcklig AI-kunnighet ska hänsyn tas till deras tekniska kunskaper, erfarenhet och utbildning samt det sammanhang i vilket AI-systemen ska användas, och till de personer eller grupper av personer på vilka AI-systemen ska användas. 

Bestämmelsen om AI-kunnighet medför inte som sådan några skyldigheter och AI-förordningen innehåller inga bestämmelser om sanktioner för försummelse eller överträdelse av artikel 4. Leverantörer och tillhandahållare av AI-system ska framför allt se till att deras personal har tillräckliga kunskaper så att leverantören eller tillhandahållaren i praktiken kan uppfylla de förpliktelser och krav som föreskrivs i AI-förordningen och annan lagstiftning. Exempelvis enligt artikel 26 i AI-förordningen ska tillhandahållare av AI-system med hög risk tilldela fysiska personer som har nödvändig kompetens och utbildning samt nödvändigt stöd uppgiften att utöva kontroll över systemet. I artikel 95 ingår närmare bestämmelser om uppförandekoder för att främja AI-kunnighet. 

2.5.4  Förbjudna AI-användningsområden

Enligt skäl 28 i ingressen kan AI också missbrukas och tillhandahålla nya verktyg för manipulation, utnyttjande och social kontroll. I artikel 5 fastställs sådana användningsområden som är särskilt skadliga och kränkande, och som därför inte får släppas ut på marknaden, tas i bruk eller användas i unionen. De strider mot unionens värden och respekten för människans värdighet, frihet, jämlikhet, demokrati och rättsstatens principer samt grundläggande rättigheter som fastställs i stadgan, inbegripet rätten till icke-diskriminering, dataskydd och personlig integritet samt barnets rättigheter. Förbuden i artikel 5 påverkar dock inte de förbud som är tillämpliga när ett AI-användningsområde strider mot annan unionsrätt. 

Subliminala tekniker. AI-baserad manipulativ teknik kan användas för att övertyga personer att ägna sig åt oönskat beteende, eller för att vilseleda dem genom att driva dem till beslut på ett sätt som undergräver och försämrar deras autonomi, beslutsfattande och fria val (skäl 29 i ingressen). Enligt artikel 5.1 a är det förbjudet att använda subliminala tekniker, dvs. tekniker som människor inte är medvetna om eller avsiktligt manipulerande eller vilseledande tekniker som syftar eller leder till en väsentlig påverkan på en persons eller en grupp av personers beteende genom att avsevärt försämra deras förmåga att fatta ett välgrundat beslut, vilket får dem att fatta ett beslut som de annars inte skulle ha fattat, på ett sätt som orsakar eller med rimlig sannolikhet kommer att orsaka betydande skada för den personen, en annan person eller en grupp av personer. Sådana AI-system utnyttjar subliminala komponenter såsom ljud-, bild- och videostimuli som människor inte kan uppfatta, eller annan manipulativ eller vilseledande teknik som undergräver eller försämrar människors autonomi, beslutsfattande eller fria val på sätt där människor inte är medvetna om denna teknik, eller om de är medvetna om den, fortfarande kan vilseledas eller inte kan kontrollera eller stå emot den. Det inte nödvändigt att operatören har för avsikt att orsaka den betydande skadan, utan som grund för förbud räcker att betydande skada kommer att orsakas med rimlig sannolikhet, omedelbart eller så att skadorna ackumuleras över tid, beroende på de manipulativa eller utnyttjande AI-baserade användningsområdena (skäl 29 i ingressen).  

Utnyttjande och social poängsättning. Enligt artikel 5.1 b är det förbjudet att släppa ut på marknaden, ta i bruk eller använda ett AI-system som utnyttjar en sårbarhet hos en fysisk person eller en specifik grupp av personer som härrör från ålder, funktionsnedsättning eller en specifik social eller ekonomisk situation, med målet eller verkan att väsentligt påverka beteendet hos den personen eller en person som tillhör den gruppen på ett sätt som orsakar eller med rimlig sannolikhet kommer att orsaka betydande skada för den personen eller en annan person. Förbjudna enligt artikel 5.1 c är också AI-system för utvärdering eller klassificering av fysiska personer eller grupper av personer under en viss tidsperiod på grundval av deras sociala beteende eller kända, uttydda eller förutsedda personliga eller personlighetsrelaterade egenskaper, med en social poängsättning som leder till antingen  

a) skadlig eller ogynnsam behandling av vissa fysiska personer eller grupper av personer i sociala sammanhang som saknar koppling till de sammanhang i vilka berörda data ursprungligen genererades eller samlades in, eller 

b) skadlig eller ogynnsam behandling av vissa fysiska personer eller grupper av personer som är omotiverad eller oproportionerlig i förhållande till personernas sociala beteende eller till hur allvarligt beteendet är, eller till båda. 

Förutseende av brottsligt beteende, databaser för ansiktsigenkänning och uttydande av känslor. Enligt artikel 5.1 d är det förbjudet att släppa ut på marknaden, ta i bruk för detta specifika ändamål eller använda ett AI-system för riskbedömningar av fysiska personer i syfte att bedöma eller förutse risken för att en fysisk person begår ett brott, uteslutande grundat på profileringen av en fysisk person eller på en bedömning av deras personlighetsdrag och egenskaper. Detta förbud är inte tillämpligt på AI-system som används för att stödja mänsklig bedömning av en persons inblandning i brottslig verksamhet, som redan grundas på objektiva och verifierbara fakta med direkt anknytning till brottslig verksamhet. Även AI-system som skapar eller utvidgar databaser för ansiktsigenkänning genom oriktad skrapning av ansiktsbilder från internet eller övervakningskameror är förbjudna enligt artikel 5.1 e. Enligt led f är det dessutom förbjudet att utsläppa ut på marknaden, ta i bruk för detta specifika ändamål eller använda AI-system för att uttyda en fysisk persons känslor på arbetsplatsen eller vid utbildningsinstitutioner, såvida inte AI-systemets användning är avsett att införas eller släppas ut på marknaden av medicinska skäl eller säkerhetsskäl. Med system för känsloigenkänning avses enligt artikel 3.39 ett AI-system vars syfte är att identifiera eller uttyda fysiska personers känslor eller avsikter på grundval av deras biometriska uppgifter.  

AI-system som baserar sig på biometri. Enligt artikel 3.40 i förordningen avses med system för biometrisk kategorisering ett AI-system för hänförande av fysiska personer till särskilda kategorier på grundval av deras biometriska uppgifter, om det inte utgör en extrafunktion till en annan kommersiell tjänst och är strikt nödvändigt av objektiva tekniska skäl. Utsläppande på marknaden, ibruktagande för detta specifika ändamål eller användning av system för biometrisk kategorisering som kategoriserar fysiska personer individuellt på grundval av deras biometriska uppgifter för att härleda eller dra slutsatser om en persons ras, politiska åsikter, medlemskap i fackförening, religiösa eller filosofiska övertygelse, sexualliv eller sexuella läggning är förbjudet med stöd av artikel 5.1 g i förordningen. Förbudet omfattar dock inte märkning eller filtrering av lagligen förvärvade biometriska dataset, såsom bilder, grundat på biometriska uppgifter eller kategorisering av biometriska uppgifter på området för brottsbekämpning. Med brottsbekämpande myndighet avses i förordningen en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, eller ett annat organ eller en annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 3.45 och 3.46).  

Med system för biometrisk fjärridentifiering i realtid avses ett system för biometrisk fjärridentifiering där infångning av biometriska uppgifter, jämförelse och identifiering sker utan betydande dröjsmål, som omfattar inte bara omedelbar identifiering utan även begränsade korta fördröjningar för att undvika kringgående (artikel 3.42). Med system för biometrisk fjärridentifiering i efterhand avses ett annat system för biometrisk fjärridentifiering än ett system för biometrisk fjärridentifiering i realtid (artikel 3.43). Enligt artikel 5.1 h är användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål förbjuden. Om och i den mån sådan användning är absolut nödvändig för brottsbekämpande ändamål är den tillåten för sökning efter försvunna personer på allmänt tillgängliga platser och för målinriktad sökning efter specifika offer för människorov, människohandel eller sexuellt utnyttjande av människor, för förhindrande av ett specifikt, betydande och överhängande hot mot fysiska personers liv eller fysiska säkerhet eller ett verkligt och aktuellt eller verkligt och förutsebart hot om en terroristattack, samt för lokalisering eller identifiering av en person som misstänks ha begått ett brott, i syfte att genomföra en brottsutredning eller lagföring för brott eller verkställande av en straffrättslig påföljd för brott som avses i bilaga II och som i den berörda medlemsstaten kan leda till fängelse eller annan frihetsberövande åtgärd under en längsta tidsperiod på minst fyra år.  

Användningen av system för biometrisk fjärridentifiering i realtid förutsätter enligt artikel 5.2 och 5.3 i regel ett förhandstillstånd från en rättslig myndighet eller en oberoende administrativ myndighet i den medlemsstat där användningen ska äga rum samt att den brottsbekämpande myndigheten har slutfört en konsekvensbedömning avseende grundläggande rättigheter såsom föreskrivs i artikel 27 och har registrerat systemet i EU-databasen enligt artikel 49. Användningen ska införas för de ändamål som anges ovan endast för att bekräfta identiteten på den individ som särskilt avses och användningen ska vara förenlig med nödvändiga och proportionella skyddsåtgärder och villkor avseende användningen i enlighet med nationell rätt som tillåter användning av dessa. Enligt artikel 5.4 ska användning av ett system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål anmälas till den berörda marknadskontrollmyndigheten och den nationella dataskyddsmyndigheten. Enligt artikel 5.6 ska de nationella marknadskontrollmyndigheterna och de nationella dataskyddsmyndigheterna lämna in årliga rapporter till kommissionen om användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats för brottsbekämpande ändamål. Dessa årliga rapporter får inte omfatta känsliga operativa uppgifter som rör relaterad brottsbekämpande verksamhet. Kommissionen ska offentliggöra årliga rapporter om användningen av system för biometrisk fjärridentifiering i realtid på allmänt tillgänglig plats för brottsbekämpande ändamål på grundval av aggregerade data från medlemsstaterna baserat på deras årliga rapporter (artikel 5.7). 

Enligt artikel 5.5 får en medlemsstat besluta att föreskriva en möjlighet att helt eller delvis tillåta användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål. Medlemsstaterna ska i sin nationella rätt fastställa de nödvändiga närmare reglerna för begäran om, utfärdande av och utövande av samt tillsyn över och rapportering om sådana tillstånd. Medlemsstaterna får införa mer restriktiva lagar om användningen av system för biometrisk fjärridentifiering i enlighet med unionsrätten. 

2.5.5  AI-system med hög risk

Artikel 6 i förordningen innehåller klassificeringsregler för AI-system med hög risk. Enligt artikel 6.1 a och b ska AI-system betraktas som ett AI-system med hög risk om båda följande villkor är uppfyllda: AI-systemet är avsett att användas som en säkerhetskomponent i en produkt, eller AI-systemet är i sig en produkt, som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I (artikel 6.1 a), och om den produkt vars säkerhetskomponent enligt led a är AI-systemet, eller själva AI-systemet som en produkt, omfattas av krav på att genomgå en tredjepartsbedömning av överensstämmelse för att den produkten ska kunna släppas ut på marknaden eller tas i bruk enligt unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I (artikel 6.1 b). Produkter som omfattas av harmoniseringslagstiftningen enligt avsnitt A i bilaga I till förordningen är leksaker, fritidsbåtar och vattenskotrar, hissar och säkerhetskomponenter till hissar, utrustning och skyddssystem som är avsedda för användning i potentiellt explosiva atmosfärer, radioutrustning, tryckbärande anordningar, linbaneanläggningar, personlig skyddsutrustning, anordningar för förbränning av gasformiga bränslen, medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik samt produkter enligt det s.k. maskindirektivet, dvs. maskiner, utbytbar utrustning, säkerhetskomponenter, lyftredskap, kedjor, kättingar, linor, vävband, avtagbara mekaniska kraftöverföringsanordningar och delvis fullbordade maskiner. 

Enligt artikel 6.2 ska AI-system som avses i bilaga III i regel betraktas som AI-system med hög risk. 

Enligt bilaga III till förordningen är AI-system med hög risk enligt artikel 6.2 de AI-system som används inom något av följande områden: biometri (punkt 1), kritisk infrastruktur (punkt 2), småbarnspedagogik och utbildning (punkt 3), anställning, arbetsledning och tillgång till egenföretagande (punkt 4), tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner (punkt 5), brottsbekämpning (punkt 6), migration, asyl och gränskontrollförvaltning (punkt 7) och rättskipning och demokratiska processer (punkt 8). När det gäller fristående AI-system, det vill säga andra AI-system med hög risk än sådana som utgör säkerhetskomponenter i produkter, eller som i sig själva utgör produkter, klassificeras de som AI-system med hög risk om de mot bakgrund av sitt avsedda ändamål utgör en hög risk för skada på personers hälsa och säkerhet eller grundläggande rättigheter, med beaktande av både den möjliga skadans allvarlighetsgrad och sannolikheten för att den ska uppstå, och de används på ett antal specifikt fördefinierade områden som anges i förordningen. (Skäl 52 i ingressen) 

Biometri. Eftersom biometriska uppgifter utgör en särskild kategori av personuppgifter har flera kritiska användningsfall av biometriska system klassificerats som användningsfall med hög risk, i den mån användningen av dem är tillåten enligt relevant unionsrätt och nationell rätt. Tekniska brister i AI-system som är avsedda för biometrisk fjärridentifiering av fysiska personer kan enligt skäl 54 i ingressen leda till biaser i resultat och medföra diskriminerande effekter. Risken är särskilt relevant när det gäller ålder, etnicitet, ras, kön eller funktionsnedsättning. En sådan klassificering utesluter AI-system som är avsedda att användas för biometrisk verifiering, inbegripet autentisering, vars enda syfte är att bekräfta att en specifik fysisk person är den som vederbörande utger sig för att vara och för att bekräfta identiteten på en fysisk person med det enda syftet att få åtkomst till en tjänst, låsa upp en enhet eller ha säker tillgång till lokaler. Dessutom är AI-system som är avsedda att användas för biometrisk kategorisering enligt känsliga attribut eller egenskaper som skyddas enligt artikel 9.1 i den allmänna dataskyddsförordningen på grundval av biometriska uppgifter, i den mån dessa inte är förbjudna enligt AI-förordningen, och system för känsloigenkänning som inte är förbjudna enligt AI-förordningen, AI-system med hög risk. Biometriska system som är avsedda att användas enbart för att möjliggöra cybersäkerhet och åtgärder för skydd av personuppgifter ska inte betraktas som AI-system med hög risk. (Skäl 54 i ingressen)  

Kritisk infrastruktur. När det gäller förvaltning och drift av kritisk infrastruktur är det lämpligt att som AI-system med hög risk klassificera AI-system avsedda att användas som säkerhetskomponenter i förvaltningen och driften av kritisk digital infrastruktur enligt förteckningen i punkt 8 i bilagan till Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (nedan CER-direktivet), vägtrafik och tillhandahållandet av vatten, gas, uppvärmning och el, eftersom funktionsavbrott eller funktionsstörning i sådana system kan medföra risk för personers liv och hälsa i stor skala och leda till märkbara störningar av det normala bedrivandet av social och ekonomisk verksamhet. Säkerhetskomponenter i kritisk infrastruktur, inbegripet kritisk digital infrastruktur, är system som enligt skäl 55 i ingressen används för att direkt skydda kritisk infrastrukturs fysiska integritet eller människors hälsa och säkerhet och egendom, men som inte är nödvändiga för att systemet ska fungera. Funktionsavbrott eller funktionsstörning i sådana komponenter kan direkt leda till risker för den kritiska infrastrukturens fysiska integritet och därmed till risker för människors hälsa och säkerhet och egendom. Komponenter som är avsedda att användas enbart för cybersäkerhetsändamål bör inte betraktas som säkerhetskomponenter. Exempel på säkerhetskomponenter i sådan kritisk infrastruktur kan omfatta system för övervakning av vattentryck eller styrsystem för brandlarm vid centrum för molntjänster. (Skäl 55 i ingressen)  

Småbarnspedagogik och utbildning. Införandet av AI-system inom utbildning är viktigt för att främja digital utbildning och annan utbildning av hög kvalitet och förbättra mediekunnigheten och det kritiska tänkandet. AI-system är enligt skäl 56 i ingressen AI-system med hög risk när de används för småbarnspedagogik och utbildning, i synnerhet när det gäller fastställandet av personers tillgång till eller antagning till institutioner för yrkesutbildning eller annan utbildning eller program på alla nivåer, för utvärdering av personers läranderesultat, för bedömning av en persons lämpliga utbildningsnivå och för väsentlig påverkan av den utbildningsnivå som personer kommer att få eller kommer kunna få tillgång till, eller för övervakning och upptäckt av förbjudet beteende bland studerande under provtillfällen. Sådana system kan avgöra en persons utbildningsväg och yrkeskarriär och därmed påverka en persons försörjningsmöjligheter. Om sådana system utformas och används på otillbörligt sätt kan de innebära en kränkning av rätten till utbildning liksom rätten att inte utsättas för diskriminering eller för en fortsättning på historiska diskrimineringsmönster mot till exempel kvinnor, vissa åldersgrupper, personer med funktionsnedsättning eller personer av vissa etniska ursprung eller av viss sexuell läggning. (Skäl 56 i ingressen)  

Anställning, arbetsledning och tillgång till egenföretagande. AI-system som används för anställning, arbetsledning och tillgång till egenföretagande är AI-system med hög risk, eftersom dessa system märkbart kan påverka framtida karriärutsikter och försörjning för dessa personer samt arbetstagares rättigheter. Under rekryteringsförfarandet och vid utvärdering, befordran eller bibehållande av personer i arbetsrelaterade avtalsförhållanden, kan sådana system reproducera historiska mönster av diskriminering, exempelvis mot kvinnor, vissa åldersgrupper, personer med funktionsnedsättning eller mot personer på grund av ras, etniskt ursprung eller sexuell läggning. AI-system som används för att övervaka sådana personers prestation och beteende kan också undergräva deras grundläggande rätt till dataskydd och personlig integritet. (Skäl 57 i ingressen)  

Tillgång till och åtnjutande av väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner. I synnerhet är fysiska personer som ansöker om eller får viktiga offentliga bidragsförmåner och tjänster från offentliga myndigheter, nämligen hälso- och sjukvårdstjänster, sociala trygghetsförmåner, sociala tjänster som tillhandahåller skydd i fall som moderskap, sjukdom, arbetsolyckor, vårdbehov eller ålderdom och arbetslöshet samt socialbidrag och bostadsbidrag, vanligtvis beroende av dessa förmåner och tjänster och befinner sig i en utsatt situation i förhållande till de ansvariga myndigheterna. Om AI-system används för att avgöra om sådana förmåner och tjänster ska beviljas, vägras, minskas, upphävas eller återkallas av myndigheterna, inbegripet huruvida mottagarna är legitimt berättigade till sådana förmåner eller tjänster, kan dessa system ha en betydande inverkan på personers försörjning och kan inkräkta på deras grundläggande rättigheter, såsom rätten till socialt skydd, icke-diskriminering, mänsklig värdighet eller ett effektivt rättsmedel, och de är därför klassificerade som AI-system med hög risk. Dessutom är AI-system som används för att utvärdera fysiska personers kreditbetyg eller kreditvärdighet klassificeras AI-system med hög risk, eftersom de avgör de berörda personernas tillgång till ekonomiska resurser eller väsentliga tjänster som bostad, el och telekommunikationstjänster. AI-system som används för dessa ändamål kan medföra diskriminering av personer eller grupper och kan reproducera sådana historiska diskrimineringsmönster som det som baseras på rasmässigt eller etniskt ursprung, kön, funktionsnedsättning, ålder eller sexuell läggning, eller skapa nya former av diskriminerande effekter. AI-system som föreskrivs i unionsrätten i syfte att upptäcka bedrägerier i samband med tillhandahållande av finansiella tjänster och för tillsynsändamål för att beräkna kreditinstituts och försäkringsföretags kapitalkrav betraktas dock inte som AI-system med hög risk enligt förordningen. Vidare kan AI-system som är avsedda att användas för riskbedömning och prissättning när det gäller fysiska personer av sjuk- och livförsäkring också ha en betydande inverkan på människors försörjningsmöjligheter och kan, om de inte utformas, utvecklas och används på rätt sätt, inkräkta på deras grundläggande rättigheter och leda till allvarliga konsekvenser för människors liv och hälsa, inbegripet ekonomisk utestängning och diskriminering. Slutligen är även AI-system som används för att utvärdera och klassificera nödsamtal från fysiska personer eller för att sända ut eller fastställa prioriteringsordning för utsändning av larmtjänster, inbegripet av polis, brandkår och sjukvård, samt av patientsorteringssystem för akutsjukvård AI-system med hög risk, eftersom dessa system fattar beslut i situationer som är mycket kritiska för personers liv, hälsa och egendom. (Skäl 58 i ingressen)  

Brottsbekämpning. AI-system som används vid brottsbekämpning är AI-system med hög risk i den mån deras användning är tillåten enligt unionsrätten och nationell rätt. Brottsbekämpande myndigheters åtgärder kan leda till övervakning, gripande eller frihetsberövande av en fysisk person, liksom annan negativ inverkan på grundläggande rättigheter som garanteras i stadgan. Om AI-system som används vid brottsbekämpning inte tränats med data av hög kvalitet, inte uppfyller lämpliga krav i fråga om prestanda, riktighet eller robusthet, eller inte har utformats och testats tillräckligt innan de släpps ut på marknaden eller på annat sätt tas i bruk, kan de peka ut människor på ett diskriminerande eller på ett annat orättvist sätt. Dessutom kan utövandet av bl.a. rätten till ett effektivt rättsmedel och till en opartisk domstol samt rätten till försvar och presumtionen för oskuld hämmas i de fall då AI-systemen inte är tillräckligt transparenta och dokumenterade. Dessa AI-system med hög risk inbegriper i synnerhet AI-system avsedda att användas av brottsbekämpande myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer till stöd för brottsbekämpande myndigheter vid bedömning av risken för att en fysisk person ska falla offer för brott, som lögndetektorer och liknande verktyg, för utvärdering av bevisens tillförlitlighet i samband med utredning eller lagföring av brott, och, i den mån det inte är förbjudet enligt förordningen, för bedömning av risken för att en fysisk person begår brott eller återfaller i brott inte enbart på grundval av profilering av fysiska personer eller en bedömning av personlighetsdrag och egenskaper eller tidigare brottsligt beteende hos fysiska personer eller grupper, för profilering i samband med upptäckt, utredning eller lagföring av brott. AI-system som är specifikt avsedda att användas av skattemyndigheter och tullmyndigheter för administrativa förfaranden samt av finansunderrättelseenheter som utför administrativa uppgifter för analys av information enligt unionsrätt på området penningtvätt bör inte klassificeras som AI-system med hög risk som används av brottsbekämpande myndigheter i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra brott. Användningen av AI-verktyg av brottsbekämpande myndigheter och andra relevanta myndigheter bör inte bli en faktor som bidrar till ojämlikhet, sociala klyftor eller utestängning. (Skäl 59 i ingressen)  

Migration, asyl och gränskontrollförvaltning. AI-system som används i samband med migration, asyl och gränskontrollförvaltning påverkar människor som ofta är i en särskilt utsatt situation och som är beroende av resultatet av de behöriga offentliga myndigheternas åtgärder. Det är därmed särskilt viktigt att de AI-system som används i dessa sammanhang är tillförlitliga, icke-diskriminerande och transparenta, för att garantera iakttagandet av de grundläggande rättigheterna, särskilt rätten till fri rörlighet, icke-diskriminering, skydd av privatliv och personuppgifter, internationellt skydd och god förvaltning. AI-system med hög risk är enligt skäl 60 i ingressen sådana AI-system, i den mån deras användning är tillåten enligt relevant unionsrätt och nationell rätt, som är avsedda att användas som lögndetektorer eller liknande verktyg av behöriga offentliga myndigheter eller för deras räkning, eller av unionens institutioner, organ eller byråer som anförtrotts uppgifter på områdena migration, asyl och gränskontrollförvaltning, för bedömning av vissa risker som fysiska personer som reser in till en medlemsstats territorium eller som ansöker om visering eller asyl medför, för att bistå behöriga offentliga myndigheter i granskningen, inbegripet den relaterade bedömningen av bevisens tillförlitlighet, av ansökningar om asyl, visering och uppehållstillstånd och därmed förbundna klagomål med avseende på syftet att fastställa om den ansökande fysiska personen uppfyller kraven för denna status, i syfte att upptäcka, känna igen eller identifiera fysiska personer i samband med migration, asyl och gränskontrollförvaltning, med undantag för kontroll av resehandlingar. AI-system på området migration, asyl och gränskontrollförvaltning vilka omfattas av förordningen bör uppfylla de relevanta förfarandemässiga krav som fastställs i Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar (viseringskodex), Europaparlamentets och rådets direktiv 2013/32/EU av den 26 juni 2013 om gemensamma förfaranden för att bevilja och återkalla internationellt skydd och annan relevant unionsrätt. AI-system som används i samband med migration, asyl och gränskontrollförvaltning bör under inga omständigheter användas av medlemsstater eller unionens institutioner, organeller byråer som ett medel för att kringgå sina internationella skyldigheter enligt FN-konventionen om flyktingars rättsliga ställning, som undertecknades i Genève den 28 juli 1951 i dess ändrade lydelse genom protokollet av den 31 januari 1967. De bör inte heller användas för att på något sätt bryta mot principen om non-refoulement eller neka säkra och effektiva lagliga vägar in på unionens territorium, inbegripet rätten till internationellt skydd. (Skäl 60 i ingressen)  

Rättskipning och demokratiska processer. Vissa AI-system som är avsedda för rättskipning och demokratiska processer är enligt förordningen AI-system med hög risk, mot bakgrund av deras potentiellt betydande inverkan på demokrati, rättsstatens principer, individuella friheter och rätten till ett effektivt rättsmedel och till en opartisk domstol. I synnerhet sådana AI-system som är avsedda att användas av en rättslig myndighet eller på dess vägnar för att hjälpa de rättsliga myndigheterna att efterforska och tolka fakta och lagstiftning och att tillämpa denna lagstiftning på en konkret uppsättning fakta ska vara AI-system med hög risk, för att man ska kunna motverka riskerna för potentiella biaser, felaktigheter och bristande insyn. AI-system som är avsedda att användas av organ för alternativ tvistlösning för dessa ändamål anses också vara förenade med hög risk när resultaten av förfarandena för alternativ tvistlösning har rättsverkan för parterna. Användningen av AI-verktyg kan stödja domarnas beslutanderätt eller rättsväsendets oberoende men bör inte ersätta det. Det slutliga beslutsfattandet måste förbli en människodriven verksamhet. Klassificeringen av AI-system som AI-system med hög risk bör dock inte omfatta AI-system som är avsedda för rent administrativa stödfunktioner som inte påverkar den faktiska rättskipningen i enskilda fall, exempelvis anonymisering eller pseudonymisering av rättsliga beslut, handlingar eller data, kommunikation mellan anställda, administrativa uppgifter. (Skäl 6 i ingressen)  

Ett undantag från huvudregeln i artikel 6.2 är enligt artikel 6.3 ett AI-system som avses i bilaga III, om det inte utgör en betydande risk för skada på fysiska personers hälsa, säkerhet eller grundläggande rättigheter, inbegripet genom att det inte materiellt påverkar resultatet av beslutsfattande. Villkoret är att ett sådant AI-system är avsett att utföra en snäv processuell uppgift, förbättra resultatet av tidigare slutförd mänsklig verksamhet, upptäcka beslutsmönster eller avvikelser från tidigare beslutsmönster och är inte avsett att ersätta eller påverka tidigare slutförd mänsklig bedömning, utan ordentlig mänsklig granskning, eller systemet är avsett att utföra en förberedande uppgift för en bedömning som är relevant för de användningsfall som förtecknas i bilaga III. Ett AI-system som avses i bilaga III ska alltid anses vara ett AI-system med hög risk om det utför profilering av fysiska personer. 

Om en leverantör anser att ett AI-system inte är ett AI-system med hög risk i enlighet med bilaga III ska leverantören upprätta dokumentation för sin bedömning innan systemet släpps ut på marknaden eller tas i bruk. Leverantören ska registrera sig i EU:s databas i enlighet med artikel 49.2 och på begäran av nationella behöriga myndigheter tillhandahålla den dokumentation som legat till grund för bedömningen (artikel 6.4). 

Kommissionen ska senast den 2 februari 2026 tillhandahålla riktlinjer som specificerar det praktiska genomförandet av artikel 6 i överensstämmelse med artikel 96, och som innefattar en omfattande förteckning över praktiska exempel på användningsfall av AI-system som innebär hög risk och användningsfall som inte innebär hög risk. 

Enligt artikel 6.7 har kommissionen befogenhet att anta delegerade akter i enlighet med artikel 97 för att ändra villkoren i artikel 6.3 andra stycket genom att lägga till nya villkor utöver dem som föreskrivs i det stycket eller genom att ändra dem, om det finns konkreta och tillförlitliga bevis på förekomst av AI-system som omfattas av tillämpningsområdet för bilaga III men som inte utgör en betydande risk för skada på fysiska personers hälsa, säkerhet eller grundläggande rättigheter. Kommissionen har också befogenhet att genom delegerade akter stryka något av de villkor som föreskrivs, om det finns konkreta och tillförlitliga bevis för att detta är nödvändigt för att upprätthålla den skyddsnivå för hälsa, säkerhet och grundläggande rättigheter som föreskrivs i förordningen. 

Med stöd av artikel 7 i förordningen ges kommissionen befogenhet att anta delegerade akter med avseende på att ändra bilaga III genom att lägga till eller ändra användningsfall för AI-system med hög risk om de villkor som anges i förordningen är uppfyllda. 

2.5.6  Krav på AI-system med hög risk

Bestämmelser om krav på AI-system med hög risk och förenlighet med kraven finns i kapitel III avsnitt 2 artiklarna 8–15 i förordningen. AI-system med hög risk ska uppfylla kraven i avsnittet. Om en produkt innehåller ett AI-system som omfattas av kraven i förordningen och kraven i unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I, ska leverantörer dessutom ansvara för att säkerställa att deras produkt uppfyller alla tillämpliga krav i tillämplig unionsharmoniseringslagstiftning. 

I artikel 9 i förordningen förutsätts att ett riskhanteringssystem ska inrättas, genomföras, dokumenteras och underhållas för AI-system med hög risk under hela livscykeln för systemet, med beaktande av regelbunden uppdatering. Stegen i riskhanteringen omfattar bl.a. identifiering och analys av kända och rimligen förutsebara risker samt antagande av lämpliga och riktade riskhanteringsåtgärder utformade för att hantera identifierade risker. De risker som avses i artikeln ska endast avse de risker som rimligen kan begränsas eller elimineras genom utveckling eller utformning av AI-systemet med hög risk eller tillhandahållande av adekvat teknisk information. För att eliminera eller minska risker i samband med användningen av AI-systemet med hög risk ska vederbörlig hänsyn tas till den tekniska kunskap, erfarenhet och utbildning som tillhandahållaren förväntas ha och det förmodade sammanhang i vilket systemet är avsett att användas. AI-system med hög risk ska testas i syfte att identifiera de lämpligaste och bäst riktade riskhanteringsåtgärderna. Testerna ska säkerställa att AI-system med hög risk fungerar konsekvent för sitt avsedda ändamål och att de uppfyller kraven. 

AI-system med hög risk som använder teknik som inbegriper träning av AI-modeller med data ska enligt artikel 10 omfattas av metoder för dataförvaltning och datahantering som är lämpliga för det avsedda ändamålet med AI-systemet med hög risk. Dessa metoder omfattar bl.a. relevanta utformningsval, datainsamlingsprocesser samt, när det gäller personuppgifter, datainsamlingens ursprungliga ändamål, relevanta åtgärder för datapreparering, formulering av antaganden, särskilt när det gäller den information som berörda data förväntas beskriva och representera, en bedömning av tillgängligheten, mängden och lämpligheten avseende de dataset som behövs och undersökning med avseende på eventuella biaser. 

Tränings-, validerings- och testdataset ska vara relevanta, tillräckligt representativa, och så långt som möjligt fria från fel och fullständiga i förhållande till det avsedda ändamålet och de ska ha lämpliga statistiska egenskaper. Dataseten ska dessutom, i den mån som krävs med hänsyn till det avsedda ändamålet, beakta de egenskaper eller element som är utmärkande för just den specifika geografiska, kontextuella, beteendemässiga eller funktionsmässiga situation där AI-systemet med hög risk är avsett att användas. 

I artikel 11 finns bestämmelser om teknisk dokumentation för AI-system. Den tekniska dokumentationen för ett AI-system med hög risk ska upprättas innan systemet släpps ut på marknaden eller tas i bruk och ska hållas uppdaterad. Den tekniska dokumentationen ska upprättas på ett sådant sätt att det visas att AI-systemet med hög risk är förenligt med kraven. Nationella behöriga myndigheter och anmälda organ ska få den information som krävs i klar och begriplig form för att bedöma om AI-systemet uppfyller dessa krav. Dokumentationen ska minst innehålla de delar som anges i bilaga IV. 

AI-system med hög risk ska tekniskt möjliggöra automatisk registrering av händelser (artikel 12). Dessa loggar ska överensstämma med harmoniserade standarder eller gemensamma specifikationer, och med deras hjälp ska det kunna säkerställas att AI-systemets funktion är spårbar under systemets hela livscykel. 

I artikel 13 finns bestämmelser om transparens. AI-system med hög risk ska utformas och utvecklas på ett sådant sätt att driften av dem är tillräckligt transparent för att tillhandahållare ska kunna tolka systemets utdata och använda dem på lämpligt sätt. En lämplig typ och grad av transparens ska säkerställas, i syfte att uppnå uppfyllelse av leverantörens och tillhandahållarens relevanta skyldigheter enligt avsnitt 3. AI-system med hög risk ska åtföljas av en bruksanvisning som inbegriper fullständig och tydlig information som är relevant, tillgänglig och begriplig för tillhandahållare. 

AI-system med hög risk ska utformas och utvecklas på ett sådant sätt att fysiska personer på ett effektivt sätt kan utöva kontroll över dem när de används (artikel 14). Mänsklig kontroll ska syfta till att förebygga eller minimera de risker för hälsa, säkerhet eller grundläggande rättigheter som orsakas av AI-system med hög risk. Tillsynsåtgärderna ska stå i proportion till riskerna, graden av autonomi och användningssammanhang för AI-systemet med hög risk. 

Enligt artikel 15 ska dessutom AI-system med hög risk utformas och utvecklas på ett sådant sätt att de uppnår en lämplig nivå avseende riktighet, robusthet och cybersäkerhet och presterar väl i dessa avseenden under hela sin livscykel. AI-system med hög risk som fortsätter att lära sig efter det att de har släppts ut på marknaden eller tagits i bruk ska utvecklas på ett sådant sätt att risken för att eventuella biaser i utdata påverkar indata för framtida drift (återföring) elimineras eller minskas så mycket som möjligt. AI-system med hög risk ska vara resilienta mot försök av obehöriga tredje parter att ändra deras användning, utdata eller prestanda genom att utnyttja systemets sårbarheter. De tekniska lösningar som syftar till att säkerställa cybersäkerhet i AI-system med hög risk ska vara anpassade till de relevanta omständigheterna och riskerna. 

2.5.7  Skyldigheter för operatörer

Enligt artikel 3.8 i förordningen avses med operatör en leverantör, en produkttillverkare, en tillhandahållare, ett ombud, en importör eller en distributör. Med leverantör avses åter enligt artikel 3.3 en fysisk eller juridisk person, en offentlig myndighet, en byrå eller ett annat organ som utvecklar ett AI-system eller en AI-modell för allmänna ändamål eller som har ett AI-system eller en AI-modell för allmänna ändamål och släpper ut det eller den på marknaden eller tar AI-systemet i bruk i eget namn eller under eget varumärke, antingen mot betalning eller kostnadsfritt. Ett ombud är en fysisk eller juridisk person som befinner sig eller är etablerad i unionen och som har fått och godtagit en skriftlig fullmakt från en leverantör av ett AI-system eller av en AI-modell för allmänna ändamål för att för dennes räkning fullgöra respektive genomföra de skyldigheter och förfaranden som fastställs i förordningen (artikel 3.5). En importör är en fysisk eller juridisk person som befinner sig eller är etablerad i unionen och som släpper ut ett AI-system på marknaden som bär namnet på eller varumärket för en fysisk eller juridisk person som är etablerad i ett tredjeland (artikel 3.6) och en distributör är en annan fysisk eller juridisk person i leveranskedjan än leverantören eller importören, som tillhandahåller ett AI-system på unionsmarknaden (artikel 3.7). En tillhandahållare är en fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system, utom när AI-systemet används inom ramen för en personlig icke-yrkesmässig verksamhet (artikel 3.4). 

Ansvar längs AI-värdekedjan. Enligt artikel 25 ska alla distributörer, importörer, tillhandahållare och andra tredje parter anses vara en leverantör av ett AI-system med hög risk, om de släpper ut på marknaden eller tar i bruk ett AI-system med hög risk under eget namn eller varumärke, ändrar ändamålet för ett AI-system med hög risk som redan släppts ut på marknaden eller tagits i bruk eller gör en väsentlig ändring av ett AI-system med hög risk. Också när det gäller AI-system med hög risk som är säkerhetskomponenter i produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I, ska produkttillverkaren anses vara leverantören av AI-systemet med hög risk, om AI-systemet med hög risk släpps ut på marknaden tillsammans med produkten under produkttillverkarens namn eller varumärke, eller om det tas i bruk under produkttillverkarens namn eller varumärke efter det att produkten släppts ut på marknaden.  

Leverantörers skyldigheter. Enligt artikel 16 ska leverantörer av AI-system med hög risk säkerställa att deras AI-system med hög risk uppfyller kraven i avsnitt 2, ha ett kvalitetsstyrningssystem som uppfyller kraven i artikel 17, förvara den tekniska dokumentation som avses i artikel 18 och spara de loggar som avses i artikel 19 samt säkerställa att AI-systemet genomgår det relevanta förfarande för bedömning av överensstämmelse som avses i artikel 43 innan det släpps ut på marknaden eller tas i bruk. Leverantörer ska utarbeta en EU-försäkran om överensstämmelse i enlighet med artikel 47 och fullgöra de registreringsskyldigheter som avses i artikel 49. Leverantörer ska vidta de korrigerande åtgärder som krävs, om ett AI-system med hög risk inte uppfyller kraven (artikel 20). CE-märkningen ska anbringas på AI-system med hög risk i enlighet med artikel 48 och det ska säkerställas att AI-systemet med hög risk uppfyller tillgänglighetskraven i enlighet med direktiven (EU) 2016/2102 (det s.k. webbtillgänglighetsdirektivet) och (EU) 2019/882 (det s.k. tillgänglighetsdirektivet). Leverantörer ska samarbeta med de nationella behöriga myndigheterna och på begäran visa att AI-systemet med hög risk överensstämmer med kraven genom att förse den behöriga myndigheten med all information och dokumentation som krävs.  

Enligt artikel 72 ska leverantörer inrätta och dokumentera ett system för övervakning efter utsläppande på marknaden på ett sätt som står i proportion till AI-teknikens beskaffenhet och riskerna med AI-systemet med hög risk. Systemet för övervakning efter utsläppande på marknaden ska baseras på en plan för övervakning efter utsläppande på marknaden. För AI-system med hög risk som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska leverantörer, om ett system och en plan för övervakning efter utsläppande på marknaden redan har inrättats enligt den lagstiftningen, ha möjlighet att integrera nödvändiga delar i system och planer som redan finns enligt den lagstiftningen, förutsatt att en likvärdig skyddsnivå uppnås. 

Enligt artikel 73 ska leverantörer rapportera alla allvarliga incidenter till marknadskontrollmyndigheterna i de medlemsstater där incidenten inträffade. Rapporten ska göras omedelbart efter det att leverantören har fastställt ett orsakssamband mellan AI-systemet och den allvarliga incidenten eller den rimliga sannolikheten för att det finns ett sådant samband och, under alla omständigheter, senast 15 dagar efter det att leverantören eller, i tillämpliga fall, tillhandahållaren fått kännedom om den allvarliga incidenten. Om en person avlider ska rapporten tillhandahållas senast tio dagar efter den dag då leverantören eller, i tillämpliga fall, tillhandahållaren fått kännedom om den allvarliga incidenten. Leverantören ska utan dröjsmål utföra de nödvändiga utredningarna med avseende på den allvarliga incidenten och det berörda AI-systemet. Detta ska inbegripa en riskbedömning av incidenten och korrigerande åtgärder. 

I artikel 74 sägs att när så är relevant och begränsat till vad som är nödvändigt för att marknadskontrollmyndigheterna ska kunna fullgöra sina uppgifter, ska leverantörer bevilja dessa fullständig åtkomst till den dokumentation och de tränings-, validerings- och testdataset som används för utvecklingen av AI-system med hög risk, inbegripet, när så är lämpligt och med förbehåll för säkerhetsgarantier, genom applikationsprogrammeringsgränssnitt (API) eller andra relevanta tekniska medel och verktyg som möjliggör fjärråtkomst. Marknadskontrollmyndigheterna ska beviljas tillgång till källkoden för AI-systemet med hög risk på motiverad begäran och endast om båda följande villkor är uppfyllda:  

a) Tillgång till källkod är nödvändig för att bedöma om ett AI-system med hög risk uppfyller kraven i kapitel III avsnitt 2. 

b) Testnings- eller revisionsförfaranden och kontroller som grundas på uppgifter och dokumentation från leverantören har uttömts eller visat sig vara otillräckliga. 

Ombud för leverantörer etablerade i tredjeländer. I artikel 22 sägs att innan leverantörer etablerade i tredjeländer tillhandahåller sina AI-system med hög risk på unionsmarknaden ska de genom skriftlig fullmakt utse ett ombud som är etablerat i unionen. Leverantören ska försäkra sig om att ombudet har befogenhet att kontrollera att den EU-försäkran om överensstämmelse som avses i artikel 47 och den tekniska dokumentation som avses i artikel 11 har upprättats och att leverantören har utfört ett lämpligt förfarande för bedömning av överensstämmelse. Ombudet ska ombesörja de registreringsskyldigheter som avses i artikel 49 och hålla kontaktuppgifterna till den leverantör som utsåg ombudet, en kopia av den EU-försäkran om överensstämmelse som avses i artikel 47, den tekniska dokumentationen och, i tillämpliga fall, det intyg som utfärdats av det anmälda organet tillgängliga för de behöriga myndigheter under en period på tio år efter det att AI-systemet med hög risk har släppts ut på marknaden eller tagits i bruk. Ombudet ska på motiverad begäran ge en behörig myndighet all information och dokumentation som är nödvändig för att visa att ett AI-system med hög risk överensstämmer med kraven och samarbeta med myndigheten. Ombudet ska säga upp fullmakten om leverantören agerar i strid med sina skyldigheter enligt förordningen. I sådana fall ska det omedelbart underrätta den berörda marknadskontrollmyndigheten samt, i tillämpliga fall, det berörda anmälda organet om uppsägningen av fullmakten.  

Importörers skyldigheter. I artikel 23 sägs att innan importörer av AI-system med hög risk släpper ut ett AI-system med hög risk på marknaden ska de säkerställa att leverantören har utfört det tillämpliga förfarandet för bedömning av överensstämmelse enligt artikel 43, upprättat den tekniska dokumentationen i enlighet med artikel 11 och bilaga IV och utsett ett ombud i enlighet med artikel 22.1, och att systemet är försett med CE-märkning och åtföljs av den EU-försäkran om överensstämmelse som avses i artikel 47 och bruksanvisning. Om en importör har tillräckliga skäl att tro att ett AI-system med hög risk inte överensstämmer med förordningen, är förfalskat eller åtföljs av förfalskad dokumentation får den inte släppa ut systemet på marknaden förrän det har bringats i överensstämmelse med kraven. Importörer ska ange sitt namn, sitt registrerade firmanamn eller sitt registrerade varumärke och sina kontaktuppgifter på AI-systemet med hög risk och på dess förpackning eller i dess åtföljande dokumentation. Importörer ska under en period på tio år efter det att AI-systemet med hög risk har släppts ut på marknaden eller tagits i bruk bevara en kopia av det intyg som utfärdats av det anmälda organet, i tillämpliga fall, av bruksanvisningen och av den EU-försäkran om överensstämmelse som avses i artikel 47. De ska också samarbeta med de berörda behöriga myndigheterna och på motiverad begäran ge dem all information och dokumentation som är nödvändig för att visa överensstämmelse med kraven.  

Distributörers skyldigheter. I artikel 24 sägs att innan distributörer tillhandahåller ett AI-system med hög risk på marknaden ska de kontrollera att det är försett med erforderlig CE-märkning, att det åtföljs av en kopia av den EU-försäkran om överensstämmelse som avses i artikel 47 och bruksanvisningen. De ska också kontrollera att leverantören har ett kvalitetsstyrningssystem som uppfyller kraven i artikel 17 och att importören ha angett sitt namn, sitt registrerade firmanamn eller sitt registrerade varumärke och sina kontaktuppgifter på AI-systemet med hög risk och på dess förpackning eller i dess åtföljande dokumentation. Distributören ska vidta de korrigerande åtgärder som krävs för att bringa systemet i överensstämmelse med kraven, dra tillbaka det eller återkalla det, eller ska säkerställa att leverantören, importören eller någon berörd operatör, beroende på vad som är lämpligt, vidtar dessa korrigerande åtgärder. De ska också samarbeta med de berörda behöriga myndigheterna och på motiverad begäran ge dem all information och dokumentation som är nödvändig för att visa överensstämmelse med kraven.  

Tillhandahållares skyldigheter. Enligt artikel 26 ska tillhandahållare av AI-system med hög risk använda sådana system i enlighet med de bruksanvisningar som åtföljer systemen och tilldela fysiska personer som har nödvändig kompetens, utbildning och auktoritet samt nödvändigt stöd uppgiften att utöva mänsklig kontroll. Om det finns skäl att tro att användningen i enlighet med instruktionerna kan utgöra en risk i den mening ska de informera leverantören eller distributören och avbryta användningen av det systemet. De ska också informera leverantören eller distributören om de har fastställt en allvarlig incident eller en funktionsstörning och har avbrutit användning av AI-systemet. Tillhandahållare av AI-system med hög risk ska spara de loggar som genereras automatiskt av det AI-systemet med hög risk. Innan ett AI-system med hög risk tas i bruk eller används på en arbetsplats ska tillhandahållare som är arbetsgivare informera arbetstagarrepresentanterna och de berörda arbetstagarna om att de kommer att vara föremål för användning av AI-systemet med hög risk. Tillhandahållare av AI-system med hög risk som är offentliga myndigheter eller unionens institutioner, organ eller byråer ska fullgöra de registreringsskyldigheter som avses i artikel 49. I tillämpliga fall ska tillhandahållare av AI-system med hög risk använda den information som tillhandahålls enligt artikel 13 i förordningen för att fullgöra sin skyldighet att genomföra en konsekvensbedömning avseende dataskydd enligt artikel 35 i den allmänna dataskyddsförordningen eller artikel 27 i dataskyddsdirektivet för brottsbekämpning. Tillhandahållare av AI-system med hög risk som avses i bilaga III och som fattar beslut eller hjälper till att fatta beslut som rör fysiska personer ska informera de fysiska personerna om att de är föremål för användning av AI-systemet med hög risk. Tillhandahållare ska samarbeta med de berörda behöriga myndigheterna.  

Konsekvensbedömning avseende grundläggande rättigheter. Innan ett AI-system med hög risk, med undantag för AI-system med hög risk som är avsedda att användas inom kritisk infrastruktur som anges i punkt 2 i bilaga III, tas i bruk ska tillhandahållare som är offentligrättsliga organ eller som är privata enheter som tillhandahåller offentliga tjänster, och tillhandahållare av AI-system med hög risk som avses i punkt 5 b och c i bilaga III, och som är avsedda att användas för att utvärdera fysiska personers kreditvärdighet och för riskbedömning i förhållande till fysiska personer, göra en bedömning av den inverkan på grundläggande rättigheter som användningen av ett sådant system kan ge upphov till. Bedömningen ska göras före den första användningen av AI-systemet och tillhandahållaren ska underrätta marknadskontrollmyndigheten om sina resultat. Om denna skyldighet delvis redan uppfyllts genom en konsekvensbedömning avseende dataskydd som genomförs enligt artikel 35 i den allmänna dataskyddsförordningen eller artikel 27 i dataskyddsdirektivet för brottsbekämpning, ska konsekvensbedömningen avseende grundläggande rättigheter komplettera den konsekvensbedömningen avseende dataskydd.  

Nationellt anses mottagande marknadskontrollmyndighet i princip vara den marknadskontrollmyndighet vars behörighet omfattar tillsyn över AI-systemet med i hög risk i fråga. Om bedömningen lämnas till någon annan marknadskontrollmyndighet eller till den gemensamma kontaktpunkten, är de med stöd av 8 § 2 mom. i förvaltningslagen skyldiga att lämna bedömningen till den behöriga myndigheten. 

2.5.8  Standarder, bedömning av överensstämmelse, intyg och registrering

Standarder och gemensamma specifikationer. Enligt avsnitt 5 artikel 40 i förordningen ska AI-system med hög risk som överensstämmer med harmoniserade standarder eller delar av dem förutsättas överensstämma med de krav som fastställts i förordningen i den utsträckning som de standarderna omfattar dessa krav eller skyldigheter. Om det inte finns harmoniserade standarder eller om kommissionen anser att de relevanta harmoniserade standarderna inte är tillräckliga, eller att de inte i tillräckligt hög grad tar hänsyn till frågor som rör grundläggande rättigheter, får kommissionen enligt artikel 41 anta genomförandeakter om gemensamma specifikationer för krav eller skyldigheter, och när de gemensamma specifikationerna utarbetas ska kommissionen samråda med det rådgivande forum som avses i artikel 67. AI-system med hög risk som har certifierats, eller för vilka en försäkran om överensstämmelse har utfärdats inom ramen för en ordning för cybersäkerhetscertifiering ska förutsättas uppfylla de cybersäkerhetskrav som anges i artikel 15 i förordningen (artikel 42).  

Bedömning av överensstämmelse. Enligt artikel 43.1 ska leverantören för ett AI-system med hög risk välja ett förfarande för bedömning av överensstämmelse grundat på antingen intern kontroll som avses i bilaga VI, eller förfarandet för bedömning av överstämmelse som avses i bilaga VII och som grundar sig på bedömning av kvalitetsstyrningssystemet och av den tekniska dokumentationen, med deltagande av ett anmält organ. För det förfarande för bedömning av överensstämmelse som avses i bilaga VII får leverantören välja vilket av de anmälda organen som helst. Om AI-systemet med hög risk är avsett att tas i bruk av brottsbekämpande myndigheter, migrationsmyndigheter eller asylmyndigheter eller av unionens institutioner, organ eller byråer ska dock tillsynsmyndigheterna för dataskydd fungera som anmält organ på det sätt som anges i artikel 74.8 eller 74.9. Bedömning som utförs av ett anmält organ gäller dock endast punkt 1 i bilaga III om AI-system med hög risk med anknytning till biometri, för i artikel 43.2 anges att för de AI-system med hög risk som avses i punkterna 2–8 i bilaga III ska leverantörer följa det förfarande för bedömning av överensstämmelse grundat på intern kontroll som avses i bilaga VI. För AI-system med hög risk som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska leverantören följa det relevanta förfarande för bedömning av överensstämmelse som krävs enligt dessa rättsakter.  

AI-system med hög risk ska alltid genomgå ett nytt förfarande för bedömning av överensstämmelse i fall av en väsentlig ändring. När det gäller AI-system med hög risk som fortsätter att lära sig efter att det har släppts ut på marknaden eller tagits i bruk får de ändringar som leverantören på förhand har fastställt inte utgöra väsentliga ändringar (artikel 43.4). 

Intyg utfärdade av anmälda organ. Enligt artikel 44 ska de intyg som anmälda organ utfärdar i enlighet med bilaga VII vara upprättade på ett språk som är lätt att förstå för de relevanta myndigheterna i den medlemsstat där det anmälda organet är etablerat. Intyg ska gälla under den tid som anges i dem och högst i fem år för AI-system som omfattas av bilaga I, och fyra år för AI-system som omfattas av bilaga III. På begäran av leverantören får intygets giltighet på grundval av en ny bedömning förlängas med nya lika långa perioder. Ett anmält organ kan konstatera att ett AI-system inte längre uppfyller de krav som fastställs i avsnitt 2, varvid det kan tillfälligt eller slutligt återkalla det utfärdade intyget eller införa begränsningar för det, om systemleverantören inte vidtar lämpliga korrigerande åtgärder inom en fastställd tidsgräns.  

Undantag från förfarandena för bedömning av överensstämmelse. Med stöd av artikel 46 får marknadskontrollmyndigheterna, av exceptionella skäl som rör allmän säkerhet eller skydd av människors liv och hälsa, miljöskydd eller skydd av viktiga industriella och infrastrukturella tillgångar, tillåta att specifika AI-system med hög risk släpps ut på marknaden eller tas i bruk inom den berörda medlemsstatens territorium under en begränsad period. Tillstånd ska utfärdas endast om marknadskontrollmyndigheten konstaterar att AI-systemet med hög risk uppfyller kraven i avsnitt 2. För AI-system med hög risk som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska endast de undantag från bedömningen av överensstämmelse som fastställs i den unionsharmoniseringslagstiftningen tillämpas. I en brådskande situation får brottsbekämpande myndigheter eller civilskyddsmyndigheter av exceptionella skäl som rör allmän säkerhet eller vid ett specifikt, betydande och överhängande hot mot fysiska personers liv eller fysiska säkerhet ta ett specifikt AI-system med hög risk i bruk utan tillstånd, förutsatt att ett sådant tillstånd begärs under eller efter användningen utan oskäligt dröjsmål.  

EU-försäkran om överensstämmelse, CE-märkning och registrering. I artiklarna 47–49 i förordningen ingår bestämmelser om EU-försäkran om överensstämmelse, CE-märkning och registrering. Leverantören ska upprätta en skriftlig, undertecknad EU-försäkran om överensstämmelse för varje AI-system med hög risk och kunna uppvisa den för de nationella behöriga myndigheterna i tio år efter det att AI-systemet med hög risk har släppts ut på marknaden eller tagits i bruk. EU-försäkran om överensstämmelse ska innehålla den information som anges i bilaga V, och kommissionen ska ha befogenhet att anta delegerade akter om denna information. Om AI-system med hög risk omfattas av annan unionsharmoniseringslagstiftning som också kräver en EU-försäkran om överensstämmelse ska en enda EU-försäkran om överensstämmelse upprättas med avseende på all unionsrätt som är tillämplig på AI-systemet med hög risk.  

CE-märkningen ska omfattas av de allmänna principer som fastställs i artikel 30 i ackrediteringsförordningen. För AI-system med hög risk som tillhandahålls digitalt ska en digital CE-märkning användas endast om den lätt kan nås via det gränssnitt från vilket det systemet är tillgängligt eller via en lättillgänglig maskinläsbar kod eller andra elektroniska medel. CE-märkningen ska anbringas på AI-system med hög risk så att den är synlig, läsbar och outplånlig eller så ska märkningen anbringas på förpackningen eller den medföljande dokumentationen. Om AI-system med hög risk omfattas av annan unionsrätt som också föreskriver anbringande av CE-märkning ska CE-märkningen visa att AI-systemet med hög risk också uppfyller kraven i den andra lagstiftningen. 

Innan ett AI-system med hög risk som förtecknas i bilaga III, med undantag för AI-system med hög risk som avses i punkt 2 i bilaga III, släpps ut på marknaden eller tas i bruk ska leverantören eller, i tillämpliga fall, ombudet registrera sig självt och systemet i den EU-databas som avses i artikel 71. Också när leverantören har fastställt att det inte är ett AI-system med hög risk enligt artikel 6.3 ska leverantören eller, i tillämpliga fall, ombudet ändå registrera sig självt och detta system i EU-databasen. Vidare ska tillhandahållare som är offentliga myndigheter, unionens institutioner, byråer eller organ eller personer som agerar på deras vägnar, registrera sig, välja systemet och registrera dess användning i den EU-databas som avses i artikel 71, med undantag för AI-system med hög risk som förtecknas i punkt 2 i bilaga III. I fråga om punkterna 1, 6 och 7 i bilaga III, på områdena brottsbekämpning, migration, asyl och gränskontrollförvaltning, ska registreringen vara i en säker, icke-offentlig del av EU-databasen. De AI-system med hög risk inom kritisk infrastruktur som avses i punkt 2 i bilaga III ska registreras på nationell nivå. 

2.5.9  Transparensskyldigheter som hänför sig till vissa AI-system

I artikel 50 finns bestämmelser om transparensskyldigheter för leverantörer och tillhandahållare av vissa AI-system. Enligt skäl 132 i ingressen kan vissa AI-system avsedda för att interagera med fysiska personer eller generera innehåll utgöra särskilda risker för identitetsmissbruk eller vilseledning oavsett om de kategoriseras som AI-system med hög risk eller inte. Under vissa omständigheter bör användningen av dessa system omfattas av särskilda transparensskyldigheter. I synnerhet bör fysiska personer underrättas om att de interagerar med ett AI-system, såvida detta inte är uppenbart för en fysisk person som är uppmärksam och medveten, med beaktande av användningens omständigheter och sammanhang (artikel 50.1). Vid genomförandet av skyldigheten bör det som kännetecknar fysiska personer som tillhör sårbara grupper på grund av ålder eller funktionsnedsättning beaktas i den mån AI-systemet även är avsett att interagera med dessa grupper (skäl 132 i ingressen). 

Dessutom bör fysiska personer underrättas när de utsätts för AI-system som genom att behandla deras biometriska uppgifter kan identifiera eller härleda dessa personers känslor eller avsikter eller hänföra dem till särskilda kategorier. Sådana särskilda kategorier kan avse aspekter som kön, ålder, hårfärg, ögonfärg, tatueringar, personlighetsdrag, etniskt ursprung, personliga preferenser och intressen. Information och underrättelser bör tillhandahållas i format som är tillgängliga för personer med funktionsnedsättning (skäl 132 i ingressen). Denna skyldighet är inte tillämplig på AI-system som används för biometrisk kategorisering och känsloigenkänning och som enligt lag får upptäcka, förebygga eller utreda brott, med förbehåll för lämpliga garantier för tredje parters rättigheter och friheter, och i enlighet med unionsrätten. 

AI-system kan generera stora mängder syntetiskt innehåll som blir allt svårare för människor att skilja från mänskligt genererat och autentiskt innehåll. Dessa systems breda tillgänglighet och ökande kapacitet har en betydande inverkan på integriteten och förtroendet för informationsekosystemet, vilket medför nya risker för felaktig information och manipulering i stor skala, bedrägeri, identitetsmissbruk och vilseledande av konsumenter (skäl 132 i ingressen). Därför förutsätter förordningen att leverantörer av AI-system, inbegripet AI-system för allmänna ändamål, som genererar syntetiskt ljud-, bild-, video- eller textinnehåll, ska säkerställa att AI-systemets utdata är märkta i ett maskinläsbart format och kan upptäckas som artificiellt genererade eller manipulerade. Skyldigheten är inte tillämplig i den mån AI-systemen utför en hjälpfunktion för vanlig redigering eller inte väsentligt ändrar de indata som tillhandahålls av tillhandahållaren eller deras semantik, eller om systemen enligt lag får upptäcka, förebygga, förhindra, utreda eller lagföra brott (artikel 50.2). 

Tekniker och metoder som möjliggör märkning i maskinläsbart format och upptäckt av att utdata har genererats eller manipulerats av ett AI-system och inte av en människa kan vara t.ex. vattenmärken, metadataidentifiering, krypteringsmetoder för att bevisa innehållets härkomst och äkthet, loggningsmetoder eller fingeravtryck. De ska vara driftskompatibla, effektiva och tillförlitliga och kunna genomföras på AI-systemnivå eller AI-modellnivå (skäl 133 i ingressen). 

Tillhandahållare av ett AI-system som genererar eller manipulerar bild-, ljud- eller videoinnehåll som utgör en deepfake ska upplysa om att innehållet har genererats artificiellt eller manipulerats. Tillhandahållare av ett AI-system som genererar eller manipulerar text som offentliggörs i syfte att informera allmänheten om frågor av allmänt intresse ska upplysa om att texten har genererats artificiellt eller manipulerats (artikel 50.4). Informationen ska lämnas till de berörda fysiska personerna på ett tydligt och urskiljbart sätt senast vid tidpunkten för den första interaktionen eller exponeringen. Informationen ska uppfylla de tillämpliga tillgänglighetskraven (artikel 50.5). Skyldigheterna i artikel 50 påverkar inte andra transparensskyldigheter som fastställs i unionsrätten eller nationell rätt för tillhandahållare av AI-system (artikel 50.6). 

2.5.10  AI-modeller för allmänna ändamål

Med en AI-modell för allmänna ändamål avses enligt artikel 3.63 en AI-modell, även när en sådan AI-modell tränas med en stor mängd data med hjälp av självövervakning i stor skala, som uppvisar betydande generalitet och på ett kompetent sätt kan utföra ett brett spektrum av distinkta uppgifter oavsett hur modellen släppts ut på marknaden och som kan integreras i en rad system eller tillämpningar i efterföljande led, utom AI-modeller som används för forsknings-, utvecklings- eller prototypverksamhet innan de släpps ut på marknaden. Med ett AI-system för allmänna ändamål avses åter ett AI-system som bygger på en AI-modell för allmänna ändamål och som har kapacitet att tjäna en rad olika ändamål, både för direkt användning och för integrering i andra AI-system (artikel 3.66). Bestämmelser om skyldigheter för leverantörer av AI-modeller för allmänna ändamål, för ombud för leverantörer samt för leverantörer av AI-modeller för allmänna ändamål med systemrisk ingår i artiklarna 53–55 i förordningen. 

Klassificering . Enligt artikel 51 ska en AI-modell för allmänna ändamål klassificeras som en AI-modell för allmänna ändamål med systemrisk om den har kapacitet med hög påverkansgrad som utvärderats på grundval av lämpliga tekniska verktyg och metoder, inbegripet indikatorer och riktmärken, eller om den har, baserat på ett beslut av kommissionen, på eget initiativ eller efter en kvalificerad varning från den vetenskapliga panelen, kapacitet eller inverkan som motsvarar den som avses i led a med beaktande av kriterierna i bilaga XIII.  

Med systemrisk avses enligt artikel 3.65 en risk som är specifikt kopplad till den kapacitet för hög påverkansgrad som finns hos AI-modeller för allmänna ändamål och som påverkar unionsmarknaden i betydande grad på grund av sin räckvidd eller på grund av faktiska eller rimligen förutsebara negativa effekter på folkhälsa, säkerhet, allmän säkerhet, grundläggande rättigheter eller samhället som helhet, och som kan spridas i stor skala i hela värdekedjan. Enligt skäl 110 i ingressen omfattar systemrisker bl.a. faktiska eller rimligen förutsebara negativa effekter i samband med allvarliga olyckor, störningar i kritiska sektorer och allvarliga konsekvenser för folkhälsan och säkerheten, alla faktiska eller rimligen förutsebara negativa effekter på demokratiska processer, allmän och ekonomisk säkerhet, och spridning av olagligt, falskt eller diskriminerande innehåll. Systemrisker antas öka med modellkapacitet och modellräckvidd. De kan uppstå under modellens hela livscykel och påverkas av förhållanden med felaktig användning, modellens tillförlitlighet, rättvisa och säkerhet, dess grad av autonomi, tillgång till verktyg, nya eller kombinerade metoder, strategier för utsläppande och distribution, potentialen att avlägsna skyddsmekanismer och andra faktorer. 

Med kapacitet med hög påverkansgrad avses kapacitet som motsvarar eller överstiger den kapacitet som registrerats i de mest avancerade AI-modellerna för allmänna ändamål. Tröskelvärdet kan ändras genom kommissionens delegerade akter för att återspegla tekniska och industriella förändringar, såsom algoritmiska förbättringar eller ökad hårdvarueffektivitet, och kommer att kompletteras med riktmärken och indikatorer för modellkapacitet. För att ta fram underlag för detta samarbetar AI-byrån med forskarsamhället, industrin, det civila samhället och andra experter. 

Förfarande. Enligt artikel 52 ska leverantören underrätta AI-byrån senast två veckor efter det att kraven har uppfyllts eller det blir känt att en AI-modell för allmänna ändamål kommer att uppfylla de krav som leder till presumtionen. I anmälan ska leverantören visa att AI-modellen för allmänna ändamål inte medför systemrisker på grund av sina särskilda egenskaper och därför inte bör klassificeras som en AI-modell för allmänna ändamål med systemrisk. Denna information är värdefull för att AI-byrån ska kunna förutse utsläppandet på marknaden av AI-modeller för allmänna ändamål med systemrisker. Leverantörerna kan börja samarbeta med AI-byrån i ett tidigt skede.  

Kommissionen får, på eget initiativ eller efter en kvalificerad varning från den vetenskapliga panelen enligt artikel 90.1 a, klassificera en AI-modell för allmänna ändamål som en AI-modell för allmänna ändamål med systemrisk, på grundval av kriterierna i bilaga XIII. På motiverad begäran av en leverantör kan kommissionen besluta att ompröva huruvida AI-modellen för allmänna ändamål fortfarande kan anses medföra systemrisker på grundval av kriterierna i bilaga XIII. En ny bedömning får begäras tidigast sex månader efter kommissionens beslut. Kommissionen ska offentliggöra en förteckning över AI-modeller för allmänna ändamål med systemrisk och hålla denna förteckning uppdaterad, dock så att immateriella rättigheter och konfidentiell affärsinformation eller företagshemligheter respekteras och skyddas i enlighet med unionsrätten och nationell rätt. 

Tillsyn. I artikel 75 i förordningen sägs att om ett AI-system bygger på en AI-modell för allmänna ändamål och modellen och systemet har utvecklats av samma leverantör har AI-byrån befogenhet att övervaka och utöva tillsyn över AI-systemets efterlevnad av skyldigheter enligt förordningen. För att utföra sina övervaknings- och tillsynsuppgifter har AI-byrån alla befogenheter som en marknadskontrollmyndighet har enligt AI-förordningen och marknadskontrollförordningen. Om de relevanta marknadskontrollmyndigheterna har tillräckliga skäl att anse att AI-system för allmänna ändamål inte uppfyller de krav som fastställs i förordningen, ska de samarbeta med AI-byrån för att utföra bedömningar av överensstämmelse och informera styrelsen och andra marknadskontrollmyndigheter om detta. Bestämmelser om tillsyn, utredning, efterlevnadskontroll och övervakning av leverantörer av AI-modeller för allmänna ändamål ingår i artiklarna 88–94 i kapitel IX avsnitt 5 i förordningen.  

2.6.1  Marknadskontrollmyndigheter

I enlighet med artikel 70.1 ska varje medlemsstat ska vid tillämpning av förordningen som nationella behöriga myndigheter inrätta eller utse minst en anmälande myndighet och minst en marknadskontrollmyndighet. Med marknadskontrollmyndighet avses enligt artikel 3.26 den nationella myndighet som utför aktiviteter och vidtar åtgärder enligt marknadskontrollförordningen. Varje medlemsstat bör utse en marknadskontrollmyndighet som ska fungera som gemensam kontaktpunkt. Identiteten på de anmälande myndigheterna och deras uppgifter samt eventuella senare ändringar av dessa ska meddelas till kommissionen liksom information om hur behöriga myndigheter och gemensamma kontaktpunkter kan kontaktas genom elektroniska kommunikationsmedel senast 2 augusti 2025. Kommissionen ska göra en förteckning över gemensamma kontaktpunkter allmänt tillgänglig. 

I artikel 74.3 sägs att för AI-system med hög risk som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska marknadskontrollmyndigheten vid tillämpning av förordningen vara den myndighet ansvarig för marknadskontroll som utsetts enligt de rättsakterna. 

För AI-system med hög risk som släpps ut på marknaden, tas i bruk eller används av finansinstitut som regleras av unionsrätten om finansiella tjänster ska marknadskontrollmyndigheten vid tillämpning av förordningen vara den berörda nationella myndighet som enligt den lagstiftningen ansvarar för den finansiella tillsynen över dessa institut, i den mån utsläppandet på marknaden, ibruktagandet eller användningen av AI-systemet står i direkt samband med tillhandahållandet av dessa finansiella tjänster. 

För AI-system med hög risk som förtecknas i punkt 1 i bilaga III till förordningen ska medlemsstaterna, i den mån systemen används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati, och för AI-system med hög risk som förtecknas i punkterna 6, 7 och 8 i bilaga III till förordningen, till marknadskontrollmyndigheter för tillämpning av förordningen utse antingen de behöriga tillsynsmyndigheterna för dataskydd enligt den allmänna dataskyddsförordningen eller dataskyddsdirektivet för brottsbekämpning, eller någon annan myndighet som utsetts enligt de villkor som fastställs i artiklarna 41–44 i dataskyddsdirektivet för brottsbekämpning. Marknadskontrollen påverkar inte på något sätt rättsliga myndigheters oberoende eller inkräktar på annat sätt på deras verksamhet när de agerar inom ramen för sin dömande verksamhet. 

Europeiska datatillsynsmannen ska fungera som marknadskontrollmyndighet när unionens institutioner, byråer eller organ omfattas av förordningen. 

De nationella behöriga myndigheterna ska utöva sina befogenheter på ett oberoende, objektivt och opartiskt sätt för att säkerställa tillämpningen och genomförandet av förordningen. Personalen vid dessa myndigheter ska avhålla sig från varje handling som är oförenlig med deras uppdrag. Förutsatt att dessa principer respekteras får sådana aktiviteter och uppgifter utföras av en eller flera utsedda myndigheter, i enlighet med medlemsstatens organisatoriska behov. De nationella behöriga myndigheterna ska i sin verksamhet säkerställa en lämplig nivå av cybersäkerhet samt agera i enlighet med de konfidentialitetskrav som anges i artikel 78. Nationella behöriga myndigheter får ge vägledning och råd om genomförandet av förordningen, i synnerhet till små och medelstora företag, inbegripet uppstartsföretag, med beaktande av styrelsens och kommissionens vägledning och rådgivning. 

Medlemsstaterna ska säkerställa att deras nationella behöriga myndigheter har tillräckliga tekniska och ekonomiska resurser samt personalresurser, och infrastruktur för att kunna fullgöra sina uppgifter på ett ändamålsenligt sätt enligt förordningen. I synnerhet ska de nationella behöriga myndigheterna ha ett tillräckligt antal anställda till ständigt förfogande, vars kompetens och sakkunskap ska inbegripa en ingående förståelse av AI-teknik, data och databehandling, skydd av personuppgifter, cybersäkerhet, grundläggande rättigheter, hälso- och säkerhetsrisker och kunskap om befintliga standarder och rättsliga krav. Medlemsstaterna ska varje år bedöma och, vid behov, uppdatera de kompetens- och resurskrav som avses i denna punkt. Senast den 2 augusti 2025 och därefter vartannat år ska medlemsstaterna rapportera till kommissionen om statusen för de nationella behöriga myndigheternas ekonomiska resurser och personalresurser, med en bedömning av deras tillräcklighet. Kommissionen ska översända denna information till styrelsen för diskussion och eventuella rekommendationer. 

2.6.2  Anmälande myndigheter, ackrediteringsorgan och anmälda organ

Enligt artikel 28 ska varje medlemsstat utse eller inrätta minst en anmälande myndighet med ansvar för att fastställa och genomföra de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa. Dessa förfaranden ska utvecklas i samarbete mellan de anmälande myndigheterna i alla medlemsstater. Medlemsstaterna får också bestämma att den bedömning och övervakning som avses i punkt 1 ska utföras av ett nationellt ackrediteringsorgan i den mening som avses i, och i enlighet med, ackrediteringsförordningen. Bestämmelser om ansöknings- och anmälningsförfarande ingår i artiklarna 29, 30 och 36 i förordningen, om krav avseende anmälda organ, iakttagande av kraven och anmälda organs operativa skyldigheter i artiklarna 31, 32 och 34 och om ifrågasättande av anmälda organs kompetens i artikel 37. Bestämmelser om anmälda organs förutsättningar att anlita dotterbolag eller underentreprenörer för bedömningen av bedömning av överensstämmelse ingår i artikel 33 i förordningen. 

Enligt artikel 28.3 ska anmälande myndigheter vara inrättade och organiserade och fungera på ett sådant sätt att det inte uppstår någon intressekonflikt med organen för bedömning av överensstämmelse och att det garanteras att deras verksamhet är objektiv och opartisk. Enligt artikel 28.5 får anmälande myndigheter varken erbjuda eller utföra sådan verksamhet som utförs av organ för bedömning av överensstämmelse eller erbjuda eller utföra konsulttjänster på kommersiell eller konkurrensmässig grund, och de ska säkerställa att den information som de erhåller behandlas konfidentiellt, i enlighet med artikel 78 (artikel 28.6). Anmälande myndigheter ska förfoga över tillräckligt med personal med lämplig kompetens för att kunna utföra sina uppgifter och personalen ska, i tillämpliga fall, ha nödvändig sakkunskap med tanke på sin funktion, på områden som informationsteknik, AI och juridik, inbegripet övervakning av grundläggande rättigheter (artikel 28.7). 

2.6.3  Kontroll av efterlevnad

Enligt artikel 74 ska marknadskontrollförordningen tillämpas på AI-system som omfattas av AI-förordningen. Marknadskontrollmyndigheterna bör ha alla de befogenheter som fastställs i AI-förordningen och i marknadskontrollförordningen vad gäller kontroll av efterlevnad och bör utöva sina befogenheter och utföra sina uppgifter oberoende, objektivt och opartiskt. Om marknadskontrollmyndigheten har tillräckliga skäl att anse att ett AI-system utgör en risk för personers hälsa eller säkerhet eller grundläggande rättigheter på nationell nivå, ska den enligt artikel 79 utvärdera om det berörda AI-systemet är förenligt med alla krav och skyldigheter som fastställs i förordningen, så att särskild uppmärksamhet ägnas åt AI-system som utgör en risk för sårbara grupper. De myndigheter som skyddar grundläggande rättigheter ska underrättas om risker för de grundläggande rättigheterna, och dessa myndigheter ska vid behov samarbeta. 

Marknadskontrollmyndigheten får kräva att operatören utan oskäligt dröjsmål vidtar lämpliga korrigerande åtgärder för att AI-systemet ska uppfylla kraven, dra tillbaka AI-systemet från marknaden eller återkalla det senast inom 15 arbetsdagar eller såsom fastställts i relevant unionsharmoniseringslagstiftning. Marknadskontrollmyndigheten ska informera det berörda anmälda organet om detta. Om marknadskontrollmyndigheten anser att den bristande överensstämmelsen inte bara gäller det nationella territoriet, ska den utan oskäligt dröjsmål informera kommissionen och de andra medlemsstaterna om utvärderingsresultaten och om de åtgärder som den har ålagt operatören att vidta. 

Om operatören av ett AI-system inte vidtar lämpliga korrigerande åtgärder inom den tid som avses i punkt 2, ska marknadskontrollmyndigheten vidta alla lämpliga provisoriska åtgärder för att förbjuda eller begränsa tillhandahållandet eller ibruktagandet av AI-systemet på sin nationella marknad, dra tillbaka produkten eller det fristående AI-systemet från den marknaden eller återkalla det. Myndigheten ska utan oskäligt dröjsmål anmäla dessa åtgärder till kommissionen och de andra medlemsstaterna. 

I artikel 80 sägs att om en marknadskontrollmyndighet har tillräckliga skäl att anse att ett AI-system som av leverantören klassificeras som AI-system utan hög risk enligt artikel 6.3 faktiskt är ett AI-system med hög risk, ska marknadskontrollmyndigheten genomföra en utvärdering av det berörda AI-systemet med avseende på dess klassificering som AI-system med hög risk på grundval av de villkor som anges i artikel 6.3 och kommissionens riktlinjer. Marknadskontrollmyndigheten ska då utan oskäligt dröjsmål ålägga den berörda leverantören att vidta alla nödvändiga åtgärder för att AI-systemet ska uppfylla de krav och skyldigheter som fastställs i förordningen samt vidta lämpliga korrigerande åtgärder inom en period som marknadskontrollmyndigheten får föreskriva. Om marknadskontrollmyndigheten vid utvärderingen enligt artikel 80.1 fastställer att AI-systemet av leverantören felaktigt klassificerats som ett system utan hög risk i syfte att kringgå tillämpningen av kraven i kapitel III avsnitt 2, ska leverantören bli föremål för sanktionsavgifter i enlighet med artikel 99. 

Om ett AI-system med hög risk uppfyller kraven i förordningen men ändå utgör en risk för personers hälsa och säkerhet, för grundläggande rättigheter eller för andra aspekter av skyddet av allmänintresset, ska marknadskontrollmyndigheten enligt artikel 82 ålägga den berörda operatören att, utan oskäligt dröjsmål och inom en period som den får fastställa, vidta alla lämpliga åtgärder för att säkerställa att det berörda AI-systemet när det släpps ut på marknaden eller tas i bruk inte längre utgör en sådan risk. 

I artikel 83 ingår bestämmelser om formell bristande överensstämmelse. Om den bristande överensstämmelsen kvarstår trots marknadskontrollmyndighetens åläggande att åtgärda den ska marknadskontrollmyndigheten vidta lämpliga och proportionella åtgärder för att begränsa eller förbjuda tillhandahållandet av AI-systemet med hög risk på marknaden eller säkerställa att det utan dröjsmål återkallas eller dras tillbaka från marknaden. 

2.10.1  Administrativa sanktionsavgifter

Enligt artikel 99 ska medlemsstaterna fastställa bestämmelser om sanktioner och andra efterlevnadsåtgärder som ska tillämpas vid operatörers överträdelser av bestämmelserna i förordningen och vidta alla nödvändiga åtgärder för att se till att de tillämpas korrekt och effektivt, varvid hänsyn ska tas till de riktlinjer som kommissionen utfärdat enligt artikel 96. Medlemsstaterna ska utan dröjsmål och senast den dag då sanktioner börjar tillämpas underrätta kommissionen om regler om sanktioner och andra efterlevnadsåtgärder och utan dröjsmål underrätta den om eventuella senare ändringar av dem. Varje medlemsstat ska fastställa regler om i vilken utsträckning administrativa sanktionsavgifter får påföras offentliga myndigheter och organ som är inrättade i medlemsstaten. Reglerna om administrativa sanktionsavgifter får tillämpas på ett sådant sätt att sanktionsavgifterna utdöms av behöriga nationella domstolar eller andra organ, beroende på vad som är tillämpligt i dessa medlemsstater, förutsatt att tillämpningen av sådana regler har motsvarande verkan. Utövandet av befogenheterna ska omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och nationell rätt, inbegripet effektiva rättsmedel och rättssäkerhet. Medlemsstaterna ska årligen underrätta kommissionen om de administrativa sanktionsavgifter som de har utfärdat under det året och om eventuella relaterade rättstvister eller rättsliga förfaranden. 

Sanktionerna ska vara effektiva, proportionella och avskräckande och de ska ta hänsyn till små och medelstora företags, inbegripet uppstartsföretags, intressen och deras ekonomiska bärkraft. Bristande efterlevnad av förbudet mot de AI-användningsområden som avses i artikel 5 ska vara föremål för administrativa sanktionsavgifter på upp till 35 000 000 euro eller, om överträdelsen begås av ett företag, upp till 7 % av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket som är högst. 

Bristande efterlevnad av andra bestämmelser än sådana som gäller förbjudna AI-användningsområden ska enligt artikel 99.4 medföra administrativa sanktionsavgifter på upp till 15 000 000 euro för operatörer eller anmälda organ eller, om överträdelsen begås av ett företag, upp till 3 % av dess totala globala årsomsättning under det föregående räkenskapsåret, beroende på vilket som är högst. Överträdelsen kan gälla leverantörers skyldigheter enligt artikel 16, ombuds skyldigheter enligt artikel 22, importörers skyldigheter enligt artikel 23, distributörers skyldigheter enligt artikel 24, tillhandahållares skyldigheter enligt artikel 26, kraven och skyldigheterna för anmälda organ enligt artikel 31, 33.1, 33.3, 33.4 eller 34 samt transparensskyldigheterna för leverantörer och tillhandahållare enligt artikel 50. 

Tillhandahållande av oriktig, ofullständig eller vilseledande information till anmälda organ eller nationella behöriga myndigheter som svar på en begäran ska medföra administrativa sanktionsavgifter på upp till 7 500 000 euro eller, om överträdelsen begås av ett företag, upp till 1 % av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket som är högst. 

När det gäller små och medelstora företag ska varje administrativ sanktionsavgift uppgå till högst procentsatsen eller beloppet, beroende på vilket belopp som är lägre. 

2.10.2  Omständigheter som ska beaktas när påföljdsavgifter påförs

Vid beslut om huruvida administrativa sanktionsavgifter ska åläggas och beslut om storleken på den administrativa sanktionsavgiften i varje enskilt fall ska alla relevanta omständigheter i den specifika situationen beaktas (artikel 99.7 a–j). För det första ska hänsyn tas till överträdelsens art, svårighetsgrad och varaktighet samt dess konsekvenser med beaktande av det berörda AI-systemets syfte samt, när så är lämpligt, antalet berörda personer och omfattningen av den skada som de har lidit. Marknadskontrollmyndigheterna ska utreda huruvida administrativa sanktionsavgifter redan har tillämpats av andra marknadskontrollmyndigheter på samma operatör för samma överträdelse, eller av andra myndigheter på samma operatör för överträdelser av annan unionsrätt eller nationell rätt, när sådana överträdelser beror på samma verksamhet eller underlåtenhet som utgör en relevant överträdelse av förordningen. 

Vid bedömningen av den operatör som begått överträdelsen och dennes åtgärder ska hänsyn också tas till storleken på, årsomsättningen och marknadsandelen för operatören, eventuell annan försvårande eller förmildrande faktor, såsom ekonomisk vinst som görs eller förlust som undviks, direkt eller indirekt, genom överträdelsen. Myndigheten ska ta hänsyn till det sätt på vilket överträdelsen kom till den nationella behöriga myndighetens kännedom, särskilt huruvida, och i sådana fall i vilken mån, operatören anmälde överträdelsen, samt graden av samarbete med myndigheterna för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter. När beslut fattas om administrativa sanktionsavgifter är dessutom av betydelse operatörens grad av ansvar med beaktande av de tekniska och organisatoriska åtgärder som genomförts av denne samt alla åtgärder som vidtagits av operatören för att minska den skada som de berörda personerna lidit. 

2.15.1  Allmänt

AI-förordningen innehåller bestämmelser om bl.a. krav på operatörer och anmälda organ, och medlemsstaterna ges nationellt handlingsutrymme avseende hur tillsynssystemet genomförs nationellt; vilka är de behöriga myndigheterna och deras uppgifter, hur genomförs påföljdssystemet inom ramen för förordningens bestämmelser och tillåts biometrisk fjärridentifiering till den del den inte ingår i de förbjudna AI-användningsområdena enligt artikel 5. Dessutom tillåts handlingsutrymme i vissa processuella frågor. 

2.15.2  Behöriga myndigheter

Enligt artikel 70.1 i förordningen ska varje medlemsstat som nationella behöriga myndigheter inrätta eller utse minst en anmälande myndighet och minst en marknadskontrollmyndighet. Förutsatt att dessa principer respekteras får sådana aktiviteter och uppgifter utföras av en eller flera utsedda myndigheter, i enlighet med medlemsstatens organisatoriska behov. Enligt artikel 70.2 ska medlemsstaterna också utse en marknadskontrollmyndighet som ska fungera som gemensam kontaktpunkt för förordningen. 

I artikel 74.3 i förordningen sägs att för AI-system med hög risk som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska marknadskontrollmyndigheten vid tillämpning av denna förordning vara den myndighet ansvarig för marknadskontroll som utsetts enligt de rättsakterna. Medlemsstaterna får dock utse en annan berörd myndighet att fungera som marknadskontrollmyndighet under förutsättning att de säkerställer samordning med de berörda sektorsspecifika marknadskontrollmyndigheter som är ansvariga för kontroll av efterlevnaden av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I. För AI-system med hög risk som släpps ut på marknaden, tas i bruk eller används av finansinstitut som regleras av unionsrätten om finansiella tjänster ska marknadskontrollmyndigheten enligt artikel 74.6 vara den berörda nationella myndighet som enligt den lagstiftningen ansvarar för den finansiella tillsynen över dessa institut, i den mån utsläppandet på marknaden, ibruktagandet eller användningen av AI-systemet står i direkt samband med tillhandahållandet av dessa finansiella tjänster. I artikel 74.8 sägs att för AI-system med hög risk som förtecknas i punkt 1 i bilaga III till förordningen ska medlemsstaterna, i den mån systemen används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati, och för AI-system med hög risk som förtecknas i punkterna 6, 7 och 8 i den bilagan, till marknadskontrollmyndigheter utse antingen de behöriga tillsynsmyndigheterna för dataskydd enligt den allmänna dataskyddsförordningen eller dataskyddsdirektivet för brottsbekämpning, eller någon annan myndighet som utsetts enligt de villkor som fastställs i artiklarna 41–44 i dataskyddsdirektivet för brottsbekämpning. Handlingsutrymmet gör det möjligt att utse myndigheter och ordna deras uppgift på nationell nivå, såväl centraliserat som decentraliserat, samt med iakttagande av eller med avvikelse från organiseringen enligt harmoniseringslagstiftningen enligt avsnitt A i bilaga 1 och dataskyddslagstiftningen, om ändamålsenlig samordning säkerställs. Endast den aktör som övervakar finansinstitut har definierats så i förordningen att det inte går att avvika från den valda nationella modellen för tillsyn över finansmarknaden. 

Enligt artikel 74.10 ska medlemsstaterna underlätta samordningen mellan marknadskontrollmyndigheter som utses enligt förordningen och andra relevanta nationella myndigheter eller organ som utövar tillsyn över tillämpningen av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I eller annan unionsrätt som kan vara relevant för de AI-system med hög risk som avses i bilaga III. Nationellt handlingsutrymme hänför sig till på vilket sätt samordningen genomförs. 

I förordningen tillåts nationellt handlingsutrymme i fråga om antalet anmälande myndigheter och utseende eller inrättandet av dem. I artikel 28.1 sägs att varje medlemsstat ska utse eller inrätta minst en anmälande myndighet med ansvar för att fastställa och genomföra de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa. Enligt artikel 28.2 får medlemsstaterna dessutom bestämma att den anmälande myndighetens ansvar för bedömning och övervakning av anmälda organ överförs på ett nationellt ackrediteringsorgan enligt ackrediteringsförordningen. 

Enligt artikel 31.9 i förordningen ska anmälda organ teckna en lämplig ansvarsförsäkring för sin verksamhet avseende bedömningar av överensstämmelse, såvida inte den medlemsstat i vilken de är etablerade tar på sig ansvaret i överensstämmelse med nationell rätt eller den medlemsstaten är direkt ansvarig för bedömningen av överensstämmelse. Medlemsstaterna kan alltså inom ramen för det nationella handlingsutrymmet ta på sig ansvaret för ett anmält organs bedömningar av överensstämmelse direkt eller med stöd av lagstiftning. 

2.15.3  Påföljdssystem

Enligt artikel 99.1 ska medlemsstaterna i enlighet med de villkor som fastställs i förordningen fastställa bestämmelser om sanktioner och andra efterlevnadsåtgärder som ska tillämpas vid operatörers överträdelser av bestämmelserna i förordningen. Sanktionerna kan också innefatta varningar och icke-monetära åtgärder. Sanktionerna ska vara effektiva, proportionella och avskräckande. I artikel 99.3–5 föreskrivs om maximibeloppet av administrativa sanktionsavgifter, vilket ger lagtillämparen prövningsrätt avseende gärningens klandervärdehet och sanktionsavgiftens storlek till den del den är mindre än maximibeloppet. Ett undantag från detta är dock den lindrigare formeln för beräkning av sanktionsavgiften för små och medelstora företag (artikel 99.6), och prövningsrätten begränsas av de förhållanden och omständigheter som ska beaktas i den samlade bedömningen och som uppräknas i artikel 99.7. Artikeln innehåller handlingsutrymme. 

Även artikel 99.8 är förenad med nationellt handlingsutrymme beträffande i vilken mån en medlemsstat kan påföra myndigheter eller offentligrättsliga organ administrativa sanktionsavgifter. Beroende på medlemsstatens rättssystem får reglerna om administrativa sanktionsavgifter enligt artikel 99.9 tillämpas på ett sådant sätt att sanktionsavgifterna utdöms av behöriga nationella domstolar eller andra organ, beroende på vad som är tillämpligt i dessa medlemsstater och förutsatt att tillämpningen av sådana regler i dessa medlemsstater ska ha motsvarande verkan. Enligt artikel 99.10 ska utövandet av befogenheter enligt artikeln omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och nationell rätt, inbegripet effektiva rättsmedel och rättssäkerhet. Handlingsutrymmet när det gäller påföljder bedöms mer ingående i avsnitt 10.2 Påföljdsbestämmelser. 

2.15.4  Biometrisk fjärridentifiering

Enligt artikel 5.5 får en medlemsstat besluta att föreskriva en möjlighet att helt eller delvis tillåta användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål inom de gränser och på de villkor som anges i artikel 5.1 första stycket h samt punkterna 2 och 3. När medlemsstaterna utnyttjar det nationella handlingsutrymmet ska de i sin nationella rätt fastställa de nödvändiga närmare reglerna för begäran om, utfärdande av och utövande av samt tillsyn över och rapportering om de tillstånd som avses i artikel 5.3. I reglerna ska det också anges för vilka syften eller brott de behöriga myndigheterna kan få tillstånd att använda dessa system för brottsbekämpande ändamål. Medlemsstaterna får införa mer restriktiva lagar om användningen av system för biometrisk fjärridentifiering i enlighet med unionsrätten. 

I artikel 26 i förordningen föreskrivs det om AI-system för biometrisk fjärridentifiering i efterhand och om skyldigheter för tillhandahållare av dem. Enligt artikel 26.10 får medlemsstaterna införa mer restriktiva lagar om användningen av system för biometrisk fjärridentifiering i efterhand i enlighet med unionsrätten. Dessutom sägs i artikel 26.10 att inom ramen för en utredning för målinriktad sökning av en person som misstänks ha begått ett brott eller som har dömts för att ha begått ett brott ska tillhandahållaren av ett AI-system med hög risk för biometrisk fjärridentifiering i efterhand på förhand eller utan oskäligt dröjsmål och senast inom 48 timmar, av en rättslig myndighet eller en administrativ myndighet vars beslut är bindande och föremål för rättslig prövning begära tillstånd för användning av det systemet, utom i fråga om det undantag som nämns i bestämmelsen. Bestämmelsen tillåter nationellt handlingsutrymme beträffande huruvida tillstånd ska begäras av en rättslig myndighet eller en administrativ myndighet. 

2.15.5  Regulatoriska sandlådor

Förordningen förpliktar till att inrätta regulatoriska sandlådor men tillåter nationellt handlingsutrymme beträffande hur sandlådan ordnas. Enligt artikel 57 i förordningen ska medlemsstaterna säkerställa att deras behöriga myndigheter inrättar minst en regulatorisk sandlåda för AI på nationell nivå, som ska vara i drift senast den 2 augusti 2026. Sandlådan får också inrättas tillsammans med de behöriga myndigheterna i andra medlemsstater. Ytterligare regulatoriska sandlådor för AI får också inrättas på regional eller lokal nivå eller tillsammans med andra medlemsstaters behöriga myndigheter. Medlemsstaterna ska också säkerställa att de behöriga myndigheter anslår tillräckliga resurser och säkerställa lämpligt samarbete mellan de myndigheter som utövar tillsyn över dessa andra sandlådor och de nationella behöriga myndigheterna. 

I artikel 62 i förordningen föreskrivs det om sådana åtgärder för leverantörer och tillhandahållare, särskilt små och medelstora företag, inbegripet uppstartsföretag, som handlar om att främja innovation och fullgöra skyldigheterna enligt förordningen. Artikeln tillåter ett visst nationellt handlingsutrymme beträffande metoderna för att vidta dessa åtgärder. Enligt artikel 62.1 b ska medlemsstaterna anordna särskilda medvetandehöjande åtgärder och utbildning om tillämpningen av förordningen anpassat till behoven hos små och medelstora företag, inbegripet uppstartsföretag, tillhandahållare och, när så är lämpligt, lokala offentliga myndigheter. I förordningen anges inte exakt hur de medvetandehöjande åtgärder och den utbildning som avses i bestämmelsen ska genomföras praktiskt, varför nationellt handlingsutrymme kan anses hänföra sig till det praktiska genomförandet av åtgärderna. 

Enligt artikel 62.1 c ska medlemsstaterna dessutom använda befintliga särskilda kanaler och, när så är lämpligt, upprätta nya sådana för kommunikation med små och medelstora företag, inbegripet uppstartsföretag, tillhandahållare, andra innovatörer och, om lämpligt, lokala offentliga myndigheter, för att ge råd och svara på frågor om genomförandet av förordningen, inbegripet när det gäller deltagande i regulatoriska sandlådor för AI. Nationellt handlingsutrymme kan anses hänföra sig till användningen och upprättandet av särskilda kanaler för kommunikation. Enligt artikel 62.1 d ska medlemsstaterna underlätta små och medelstora företags och andra berörda parters deltagande i processen för standardiseringsutveckling. Det nationella praktiska genomförandet av dessa intressentgruppers deltagande kan anses vara förenat med nationellt handlingsutrymme. 

2.15.6  Nationellt handlingsutrymme i vissa frågor

Arbetstagarnas ställning . Enligt artikel 2.11 hindrar förordningen inte unionen eller medlemsstaterna från att behålla eller införa lagar och andra författningar som är förmånligare för arbetstagare när det gäller att skydda deras rättigheter i fråga om arbetsgivares användning av AI-system, eller att uppmuntra eller tillåta tillämpning av kollektivavtal som är förmånligare för arbetstagare. Den nationella lagstiftningen får alltså behandla arbetstagare förmånligare än enligt bestämmelserna i förordningen.  

Mänsklig kontroll. Enligt artikel 14 i förordningen ska för AI-system med hög risk som avses i punkt 1 a i bilaga III de åtgärder som avses i artikel 14.3 dessutom vara sådana att de säkerställer att ingen åtgärd och inget beslut vidtas respektive fattas av tillhandahållaren på grundval av den identifiering som systemet resulterar i, såvida inte denna identifiering har kontrollerats och bekräftats separat av minst två fysiska personer med nödvändig kompetens, utbildning och auktoritet. Kravet på en separat kontroll av minst två fysiska personer är inte tillämpligt på AI-system med hög risk som används inom områdena brottsbekämpning, migration, gränskontroll eller asyl, om en tillämpning av detta krav enligt unionsrätten eller nationell rätt skulle betraktas som oproportionell. Nationellt handlingsutrymme hänför sig till uttrycket i den sista mening om oproportionell tillämpning av kravet, om och när ett sådant krav har fastställts i den nationella lagstiftningen.  

Leverantörers och ombuds skyldighet att bevara dokumentation. Enligt artikel 18.2 i förordningen ska varje medlemsstat fastställa på vilka villkor den dokumentation som avses i punkt 1 ska hållas tillgänglig för de nationella behöriga myndigheterna under den period som anges i den punkten i de fall då en leverantör eller dennes ombud som är etablerad på dess territorium går i konkurs eller upphör med sin verksamhet före utgången av denna period.  

Tillämpning av tillhandahållares skyldigheter. Enligt artikel 26 i förordningen ska tillhandahållare av AI-system med hög risk vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att de använder sådana system i enlighet med de bruksanvisningar som åtföljer systemen (punkt 1). Tillhandahållare ska tilldela fysiska personer som har nödvändig kompetens, utbildning och auktoritet samt nödvändigt stöd uppgiften att utöva mänsklig kontroll (punkt 2). Enligt artikel 26.3 påverkar dessa skyldigheter dock inte andra skyldigheter för tillhandahållare enligt unionsrätten eller nationell rätt eller tillhandahållarens frihet att organisera sina egna resurser och sin egen verksamhet i syfte att genomföra de åtgärder för mänsklig kontroll som leverantören anger.  

Nationellt register över AI-system med hög risk för kritisk infrastruktur. Enligt artikel 49.5 i förordningen ska de AI-system med hög risk för kritisk infrastruktur som avses i punkt 2 i bilaga III registreras på nationell nivå. Handlingsutrymme hänför sig till vilken myndighet som nationellt utses till personuppgiftsansvarig och hur registret ordnas i praktiken.  

Utarbetande av uppförandekod. Enligt artikel 95.1 ska medlemsstaterna uppmuntra och underlätta utarbetandet av uppförandekoder. Vilka aktörer som deltar i utarbetandet av uppförandekoder och på vilket sätt utarbetandet uppmuntras och underlättas i medlemsstaterna är förenat med nationellt handlingsutrymme. Enligt artikel 95.3 får uppförandekoder utarbetas av enskilda leverantörer eller tillhandahållare av AI-system eller av organisationer som företräder dem eller av båda dessa, inbegripet genom att eventuella berörda parter och deras representativa organisationer involveras, inbegripet organisationer i civilsamhället och den akademiska världen. Uppförandekoder får omfatta ett eller flera AI-system med beaktande av likheten mellan de berörda systemens avsedda ändamål. När AI-byrån och medlemsstaterna uppmuntrar och underlättar utarbetandet av uppförandekoder ska de ta hänsyn till de särskilda intressen och behov som små och medelstora företag, inbegripet uppstartsföretag, har (artikel 95.4).  

Språkkrav. Nationellt handlingsutrymme hänför sig också till vissa artiklar i förordningen där det föreskrivs att de nationella myndigheterna ska förses med information eller dokumentation på ett språk som är lätt att förstå för dem. Språkkrav ingår i artikel 21 om leverantörers skyldigheter, i artikel 23 om importörers skyldigheter, i artikel 44 om intyg som utfärdas av anmälda organ, i artikel 47 om anmälda organs EU-försäkran om överensstämmelse och i artikel 77 om rätt till information för myndigheter som skyddar grundläggande rättigheter.  

3.1.1  Marknadskontrollbestämmelser

Genom marknadskontrollförordningen har det upprättats enhetliga ramar för marknadskontroll och yttre gränskontroll av produkter i samtliga medlemsländer. Enligt marknadskontrollförordningen ska medlemsstaterna organisera och genomföra marknadskontroll inom sin egen jurisdiktion. Syftet med marknadskontrollförordningen är att förbättra den inre marknadens funktionssätt så att de produkter som släpps ut på EU-marknaden överensstämmer med de krav som ställts på dem och så att en hög nivå vad avser skydd av hälsa och säkerhet, konsumentskydd och miljöskydd säkerställs. Den innehåller bestämmelser om skyldigheter för ekonomiska aktörer, minimikrav på marknadskontrollmyndighetens befogenheter, gränsöverskridande samarbete mellan marknadskontrollmyndigheter och samarbete med tullmyndigheter. Marknadskontrollförordningens tillämpningsområde omfattar unionens harmoniseringslagstiftning som förtecknas i bilaga I till marknadskontrollförordningen (70 produktsektorer), så dess tillämpningsområde är brett. För att säkerställa ändamålsenlig och effektiv kontroll av att de krav och skyldigheter som fastställs i AI-förordningen konstateras i skäl 156 i förordningens ingress att det system för marknadskontroll och överensstämmelse för produkter som inrättas genom marknadskontrollförordningen bör gälla i sin helhet. AI-förordningens tillämpningsområde är dock betydligt snävare än marknadskontrollförordningens. 

I artikel 2.1 om tillämpningsområde i marknadskontrollförordningen föreskrivs att marknadskontrollförordningen ska tillämpas på produkter som omfattas av den harmoniserade unionslagstiftning som förtecknas i bilaga I, i den mån det inte finns några särskilda bestämmelser med samma syfte i harmoniserad unionslagstiftning som på ett mer specifikt sätt reglerar särskilda aspekter av marknadskontroll och tillsyn. Nationella bestämmelser som kompletterar marknadskontrollförordningen finns i huvudsak i lagen om marknadskontrollen av vissa produkter (1137/2016), nedan marknadskontrollagen. Marknadskontrollagen är horisontell med karaktären av allmän lag och den omfattar marknadskontrollen av flera produktsektorer. I marknadskontrollagen ingår allmänna bestämmelser om ordnande av marknadskontrollverksamhet i enlighet med marknadskontrollförordningen, myndigheternas befogenheter, administrativa metoder och indrivning av kostnader. Marknadskontrollagen är en del av den regleringshelhet som gäller produktsäkerhet och marknadskontrollagen tillämpas inte självständigt utan marknadskontrollförordningen eller den sektorreglering som nämns i lagens paragraf om tillämpningsområde.  

Förhållandet mellan marknadskontrollagen och tillsynsbestämmelserna i de sektorlagar som hör till dess tillämpningsområde varierar mellan olika sektorer beroende på sektorregleringens innehåll och eftersom sektorlagarnas tillämpningsområde är olika omfattande. Till den del som det föreskrivs separat i sektorlagar om ytterligare krav eller befogenheter eller om marknadskontroll på ett sätt som annars avviker från marknadskontrollagen tillämpas sektorlagen. Dessutom föreskrivs det t.ex. i vissa produktspecifika lagar om produkternas och utrustningarnas överensstämmelse med kraven under deras användningstid och om tillsynen över den, vilket baserar sig på nationella bestämmelser. 

I 1 kap. i marknadskontrollagen ingår allmänna bestämmelser om tillämpningsområde och definitioner (1 och 2 §). Lagen tillämpas på marknadskontrollen av de produkter som omfattas av tillämpningsområdet för de lagar som nämns i 1 §, om inte något annat föreskrivs i de lagar som nämns. I avsnitt A i bilaga I till AI-förordningen förtecknas de rättsakter som hör till unionens harmoniseringslagstiftning och som baserar sig på den nya lagstiftningsramen. Största delen av de produktsektorer som omfattas av unionens harmoniseringslagstiftning och som ingår i avsnitt A i den bilagan omfattas av marknadskontrollagens tillämpningsområde. Dessa är produkter som hör till tillämpningsområdet för lagen om leksakers säkerhet (1154/2011), lagen om säkerhet och utsläppskrav för fritidsbåtar (1712/2015), hissäkerhetslagen (1134/2016), lagen om överensstämmelse med kraven för utrustning och säkerhetssystem som är avsedda för användning i explosionsfarliga omgivningar (1139/2016), 30 kap. i lagen om tjänster inom elektronisk kommunikation (917/2014), lagen om tryckbärande anordningar (1144/2016), lagen om personlig skyddsutrustning som är avsedd att användas av konsumenter (1140/2016) och gasanordningslagen (502/2018), som utfärdats med stöd av harmoniseringslagstiftning. Samtliga produkter som omfattas av harmoniseringslagstiftningen enligt avsnitt A i den bilagan omfattas ändå inte av marknadskontrollagens tillämpningsområde. Bestämmelser om marknadskontroll av medicintekniska produkter ingår i förordningen om medicintekniska produkter (EU) 2017/745, nedan MD-förordningen, samt i förordningen om medicintekniska produkter för in vitro-diagnostik (EU) 2017/746, nedan IVD-förordningen, samt i lagen om medicintekniska produkter (719/2021) och i lagen om vissa medicintekniska produkter enligt EU-direktiv (629/2010). När det gäller t.ex. skydd för arbetstagare föreskrivs det om regionförvaltningsverkens ansvarsområden för arbetarskyddet och social- och hälsovårdsministeriets befogenheter som marknadskontrollmyndighet förutom i marknadskontrollförordningens även i lagen om tillsynen över arbetarskyddet och om arbetarskyddssamarbete på arbetsplatsen (44/2006), lagen om vissa tekniska anordningars överensstämmelse med gällande krav (1016/2004) samt i förordningen om personlig skyddsutrustning (EU) 2016/425 och förordningen om linbaneanläggningar (EU) 2016/424 

3.1.2  Centrala marknadskontrollmyndigheter

I Finland är marknadskontrollen ordnad enligt produktsektor och sköts av flera olika marknadskontrollmyndigheter. De finländska marknadskontrollmyndigheterna arbetar inom sammanlagt sju ministeriers förvaltningsområden, och marknadskontrollen sköts i huvudsak av ministeriestyrda ämbetsverk. Ett undantag är marknadskontrollen av teknisk utrustning som i väsentlig grad är avsedd att användas i arbete, som genomförs av social- och hälsovårdsministeriets avdelning för arbete och jämställdhet och regionförvaltningsverkens fem ansvarsområden för arbetarskyddet. Inom denna sektor fattar ministeriet beslut som begränsar utsläppandet av produkter på marknaden eller överlåtelsen av produkter för användning. 

Marknadskontrollmyndigheterna arbetar riskbaserat. Tillsynen riktas till de produktgrupper som orsakar risker med störst eller mest omfattande konsekvenser eller där tillsynen har störst effekt. Vid ett riskbaserat tillvägagångssätt beaktas bl.a. de riskfaktorer som hänför sig till produkterna och bristande överensstämmelse, produkternas skadlighet för driftsmiljön eller användaren, antalet produkter på marknaden och deras spridningsgrad, tidigare bristande överensstämmelse för den aktör som ansvarar för produkterna, Tullens riskanalys, de anmälningar som hänför sig till produkterna och information från andra källor som kan tyda på bristande överensstämmelse. 

I 2 kap. 4 § i marknadskontrollagen finns bestämmelser om tillsynsmyndigheterna inom lagens tillämpningsområde. Säkerhets- och kemikalieverket, Strålsäkerhetscentralen, Transport- och kommunikationsverket, Finlands miljöcentral, Säkerhets- och utvecklingscentret för läkemedelsområdet, Tillstånds- och tillsynsverket för social- och hälsovården samt Livsmedelsverket är marknadstillsynsmyndigheter enligt marknadskontrollagen i fråga om de produktgrupper som avses i de sektorlagar som nämns i lagens 1 § 1 mom. I Finland är Tullen den yttregränsmyndighet som avses i artikel 25.1 i marknadskontrollförordningen, som ansvarar för den yttre gränskontrollen av produkter som för in på unionsmarknaden. Vid den yttre gränskontrollen iakttas det förfarande som föreskrivs i kapitel VII i marknadskontrollförordningen. 

I Finland finns det inte någon myndighet med allmänt ansvar för marknadskontrollen av informationssystem eller programvaror, och således inte heller någon myndighet som övervakar AI-system. Cybersäkerhetscentret, som finns i anslutning till Transport- och kommunikationsverket, har till uppgift att stödja, styra och övervaka informationssäkerheten och tillgodoseendet av integritetsskyddet vid elektronisk kommunikation samt att samordna nationellt och internationellt samarbete. Unionens harmoniseringslagstiftning som baserar sig på den nya lagstiftningsramen enligt förteckningen i avsnitt A i bilaga I till AI-förordningen omfattar 12 olika produktsektorer, där AI-system enligt artikel 6.1 i förordningen ska betraktas som AI-system med hög risk. Villkoret är att den produkt vars säkerhetskomponent enligt led a är AI-systemet, eller själva AI-systemet som en produkt, omfattas av krav på att genomgå en tredjepartsbedömning av överensstämmelse för att den produkten ska kunna släppas ut på marknaden eller tas i bruk enligt unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I. I följande tabell anges de nuvarande marknadskontrollmyndigheter för dessa produktsektorer i Finland. 

Tabell 1. Marknadskontrollmyndigheter i Finland för unionens harmoniseringslagstiftning enligt förteckningen i avsnitt A i bilaga I till AI-förordningen  

Säkerhets- och kemikalieverket. Säkerhets- och kemikalieverket är verksamt inom arbets- och näringsministeriets förvaltningsområde och enligt 2 § 1 mom. i lagen om Säkerhets- och kemikalieverket (1261/2010) har verket till uppgift att övervaka och främja teknisk säkerhet och överensstämmelse med kraven hos produkter, tjänster och produktionssystem, konsumentsäkerhet, kemikaliesäkerhet, växtskyddsmedlens säkerhet och kvalitet, och systemet för konstaterande av kompetens (ackrediteringssystemet). Enligt 2 § 2 mom. ska verket dessutom sköta uppgifter i anslutning till bedömning av kompetensen hos bedömningsorgan och ackreditering av bedömningsorgan, och för skötseln av denna uppgift har Säkerhets- och kemikalieverket en ackrediteringsenhet. Säkerhets- och kemikalieverket är marknadskontrollmyndighet enligt marknadskontrollagen när en produkt omfattas av tillämpningsområdet för den nationella lagen om leksakers säkerhet, hissäkerhetslagen, lagen om överensstämmelse med kraven för utrustning och säkerhetssystem som är avsedda för användning i explosionsfarliga omgivningar, lagen om tryckbärande anordningar, lagen om personlig skyddsutrustning som är avsedd att användas av konsumenter och gasanordningslagen, som utfärdats med stöd av harmoniseringslagstiftning enligt avsnitt A i bilaga I till AI-förordningen.  

Säkerhets- och kemikalieverkets marknadskontroll riktar sig till produkter, produktdokument, produktmärkningar och förfaranden för att påvisa överensstämmelse. Säkerhets- och kemikalieverket granskar inte alla produkter som finns på marknaden, utan tillsynen är riskbaserad och sker i form av stickprov. Säkerhets- och kemikalieverket riktar tillsynen till sådana produkter vilkas säkerhetsrisker och bristande överensstämmelse är störst. Allmänna marknadskontrollmetoder är förbud eller föreläggande, tillbakadragande från marknaden, återkallelse samt rådgivning och handledning. 

Säkerhets- och kemikalieverket är det centrala samordningskontor för marknadskontroll som avses i artikel 10.3 i marknadskontrollförordningen. Uppgiften som centralt samordningskontor är placerad vid produktenhetens Fipoint-grupp. När det gäller skötseln av samordningskontorets uppgifter är Fipoint oberoende i relation till alla marknadskontrollmyndigheter och Tullen. I enlighet med artikel 10 i marknadskontrollförordningen ska samordningskontoret ha ansvaret för att representera en samordnad ståndpunkt från marknadskontrollmyndigheterna och Tullen samt för att meddela den nationella strategin för marknadskontroll till ICSMS-systemet. Utöver de uppgifter som föreskrivs i marknadskontrollförordningen har samordningskontoret tilldelats uppgifter i 4 a § i marknadskontrollagen. Enligt marknadskontrollagen ska Finlands centrala samordningskontor samordna myndighetssamarbetet inom marknadskontrollen och bistå marknadskontrollmyndigheterna vid det nationella och internationella samarbetet. Till det centrala samordningskontorets uppgifter hör dessutom att utarbeta en nationell strategi för marknadskontroll tillsammans med samarbetsgruppen för marknadskontroll. Samordningskontoret företräder också Finland i den kommitté som behandlar marknadskontroll av produkter och produkters överensstämmelse med kraven tillsammans med arbets- och näringsministeriet. Med stöd av 4 b § i marknadskontrollagen finns i anslutning till det centrala samordningskontoret för marknadskontroll en samarbetsgrupp för marknadskontroll, i vilken ingår representanter för de marknadskontrollmyndigheter som avses i marknadskontrollförordningen, för Tullen och vid behov för andra myndigheter. 

Tullen. Tullen är den ansvariga myndighet för yttre gränskontroll som avses i artikel 25.1 i marknadskontrollförordningen samt övervakar att exportförbud enligt 23 § i marknadskontrollagen och föreläggande om förstöring enligt 25 § i den lagen iakttas vid den yttre gränsen. Dessutom har Tullen utsetts särskilt till behörig marknadskontrollmyndighet i fråga om vissa produktkategorier. När Tullen är behörig marknadskontrollmyndighet, utför den tillsynen självständigt.  

Med stöd av 56 § i den nationella lagen om leksakers säkerhet (1154/2011) är Tullen i artiklarna 25–28 i marknadskontrollförordningen avsedd marknadskontrollmyndighet i fråga om leksaker vid sidan av Säkerhets- och kemikalieverket. Dessutom övervakar Tullen i egenskap av marknadskontrollmyndighet att lagen om leksakers säkerhet iakttas vid lossning och därtill anslutning lagring av ett parti leksaker som levereras till Finland från Europeiska unionens medlemsstater. När Tullen är marknadskontrollmyndighet tillämpas förutom tullagen (304/2016) även 6 och 7 §, 3 kap. samt 27–29 § i marknadskontrollagen. 

Den tillsyn som Tullen utför med stöd av lagen om leksakers säkerhet är riskbaserad. Tullen tillsyn är undantagsvis riskbaserad, eftersom Tullen övervakar produkter redan i det skede då de släpps ut på marknaden. Tullen undersöker de prover som tagits vid Tullaboratoriet samt fattar beslut i anslutning till marknadskontrollen självständigt vid produktsäkerhetsenheten. Tullen granskar ungefär 500–700 leksaker per år. 

Transport- och kommunikationsverket. Bestämmelser om marknadskontroll av radioutrustning finns i 30 kap. i lagen om tjänster inom elektronisk kommunikation, genom vilket har genomförts Europaparlamentets och rådets direktiv 2014/53/EU om harmonisering av medlemsstaternas lagstiftning om tillhandahållande på marknaden av radioutrustning och om upphävande av direktiv 1999/5/EG, nedan radioutrustningsdirektivet, som nämns i avsnitt A punkt 6 i bilaga I till AI-förordningen. Utöver dessa tillämpas marknadskontrollförordningen och lagen om marknadskontrollen av vissa produkter på marknadskontrollen av radioutrustning. Transport- och kommunikationsverket utövar tillsyn över efterlevnaden av lagen i fråga samt bestämmelser som utfärdats och beslut som meddelats med stöd av den.  

Transport- och kommunikationsverkets tillsyn omfattar dock inte krav som hänför sig till skydd av människors och husdjurs hälsa och säkerhet och inte heller väsentliga elsäkerhetskrav, till den del det föreskrivs att någon annan myndighet (Säkerhets- och kemikalieverket, Strålsäkerhetscentralen) ska övervaka efterlevnaden av kraven.  

Transport- och kommunikationsverkets tillsyn syftar i huvudsak till att förebygga radiostörningar. Marknadskontrollen av radioutrustning är tillsyn i efterhand som gäller tillverkning samt import och distribution i samband med ekonomisk verksamhet. Marknadskontrollen av radioutrustning omfattar inte ibruktagande och användning av radioutrustning. Transport- och kommunikationsverket har rätt att granska en radioutrustning och ta den till undersökning samt rätt att förbjuda utsläppande och tillhandahållande av radioutrustning på marknaden och användning av radioutrustning, om utrustningen har orsakat eller sannolikt kan antas orsaka skadliga störningar. Med stöd av radioutrustningsdirektivet har vissa kategorier av radioutrustning ålagts ytterligare krav. Sådana är bl.a. de nya dataskyddskrav vilkas tillämpning och marknadskontroll inleds den 1 augusti 2025. Dessutom har radioutrustningsdirektivet ändrats genom det s.k. direktivet om en gemensam laddare, som gäller laddare för radioutrustning och som började tillämpas den 28 december 2024. 

Tillsynen är riskbaserad och sker i form av stickprov och den omfattar både reaktiv tillsyn, dvs. fall som kommit fram genom utredning av radiostörningar eller olika rapporteringskanaler, och proaktiv tillsyn, som riktas särskilt till sådana apparatgrupper där det finns eller där man misstänker risk för radiostörningar. I marknadskontrolluppdraget ingår dessutom nationellt och internationellt samarbete mellan olika tillsynsmyndigheter, olika typer rapportering och statistikföring samt rådgivning till och kommunikation med olika aktörer.  

Transport- och kommunikationsverket använder för närvarande cirka tre årsverken för marknadskontroll av radioutrustning på årsnivå. Verket kontrollerar årligen cirka 40–60 enheter med ett årligt testningsanslag på cirka 58 000 euro. Kontrollerna riktas såväl till försäljningslokaler som till handel med radioutrustning på nätet. Tillsynsåtgärderna påverkas bl.a. av vilka brister som upptäckts vid kontrollerna och av riskbedömningen avseende dessa brister. 

Enligt lagen om marknadskontrollen av vissa produkter är Transport- och kommunikationsverket marknadskontrollmyndighet när det gäller produkter som avses lagen om säkerhet och utsläppskrav för fritidsbåtar (1712/2015), nedan fritidsbåtslagen. Lagen baserar sig på Europaparlamentets och rådets direktiv 2013/53/EU om fritidsbåtar och vattenskotrar och om upphävande av direktiv 94/25/EG (fritidsbåtsdirektivet). Transport- och kommunikationsverket övervakar att båtar, vattenskotrar, motorer och utrustning som omfattas av tillämpningsområdet för fritidsbåtslagen och som släpps ut på marknaden (överlåts för fri rörelse) eller tas i bruk uppfyller kraven.  

Genom Trafiksäkerhetsverkets föreskrift om säkerhet och utsläppskrav för fritidsbåtar (14.1.2016, TRAFI/10668/03.04.01.00/2015) har buller- och utsläppskraven på vattenfarkoster samt konstruktions- och tillverkningsföreskrifterna för produkter preciserats. Genom föreskriften har bilagorna till fritidsbåtsdirektivet genomförts. 

Transport- och kommunikationsverkets marknadskontroll är riskbaserad och indelas i praktiken i föregripande och reagerande tillsyn. Strävan är att rikta tillsynen till de största säkerhetsriskerna. Föregripande tillsyn utförs hos återförsäljare och tillverkare. Genom tullsamarbete och allmän expertrådgivning försöker man förebygga att produkter som inte överensstämmer med kraven kommer ut på marknaden. Reagerande tillsyn utförs på grund av anmälningar från andra myndigheter eller medlemsländer samt till följd av eventuella olyckor. 

Vid tillsynen används en riskbedömningsmetod som utvecklats av marknadskontrollmyndigheterna för fritidsbåtar, där man granskar verksamheten som en helhet samt bedömer risken för att produkter som inte överensstämmer med kraven släpps ut på marknaden. Risken och antalet produkter som släppts ut på marknaden bestämmer den totala risken och vidare marknadskontrollåtgärdernas omfattning.  

Transport- och kommunikationsverket förfogar över 2,2 årsverken för marknadskontrolluppdrag som avser fritidsbåtar. 

Artikel 49 i förordningen om digitala tjänster förutsätter att medlemsstaterna utser nationella samordnare för digitala tjänster. I Finland är Transport- och kommunikationsverket nationell samordnare för digitala tjänster med stöd av 1 § i lagen om tillsyn över förmedlingstjänster på nätet (18/2024). 

Transport- och kommunikationsverket ansvarar för de uppgifter som enligt förordningen om digitala tjänster ålagts den samordnande myndigheten i Finland och deltar i samarbetsnätverket med de andra medlemsstaternas motsvarande myndigheter. I egenskap av nationell samordnare för digitala tjänster fungerar Transport- och kommunikationsverket som kontaktpunkt i alla frågor som rör tillämpningen av förordningen om digitala tjänster, vilket kräver att verket reagerar på kontakter från såväl leverantörer av förmedlingstjänster som tjänstemottagare, konsumenter, betrodda anmälare, forskare och andra myndigheter. 

Till Transport- och kommunikationsverkets uppgifter hör att samordna samarbetet med samordnarna för digitala tjänster i andra medlemsstater och kommissionen samt att delta i det arbete som utförs av den europeiska nämnd för digitala tjänster som inrättas separat. Verkets uppgifter omfattar även rapportering till kommissionen och andra samordnare för digitala tjänster. Dessutom omfattar uppgifterna ett nära samarbete med andra nationella myndigheter, till exempel dataombudsmannen och konsumentombudsmannen. 

Säkerhets- och utvecklingscentret för läkemedelsområdet. Säkerhets- och utvecklingscentret för läkemedelsområdet är den behöriga myndighet för medicintekniska produkter som avses i MD-förordningen och den behöriga myndighet för medicintekniska produkter för in vitro-diagnostik som avses i IVD-förordningen samt den myndighet med ansvar för anmälda organ som avses i de förordningarna.  

Bestämmelser om medicintekniska produkter ingår i MD-förordningen och i IVD-förordningen, som kompletteras av lagen om medicintekniska produkter och lagen om vissa medicintekniska produkter enligt EU-direktiv.  

Säkerhets- och utvecklingscentret för läkemedelsområdet är behörigt att utföra de uppgifter och utöva de befogenheter som förskrivits för medlemsstaterna i MD-förordningen och IVD-förordningen. Dessutom är centret den marknadskontrollmyndighet som avses i marknadskontrollförordningen i fråga om produkter som omfattas av tillämpningsområdet för MD-förordningen och IVD-förordningen.  

Säkerhets- och utvecklingscentret för läkemedelsområdet ombesörjer de styrnings-, tillstånds- och tillsynsuppgifter som ålagts centret i lagstiftningen om medicintekniska produkter. Enligt 37 § 1 mom. i lagen om medicintekniska produkter har centret till uppgift att övervaka och främja säkerheten hos medicintekniska produkter och i användningen av dem samt produkternas överensstämmelse med kraven. 

Bestämmelser om Säkerhets- och utvecklingscentret för läkemedelsområdets tillsynsbefogenheter ingår i 5 kap. i lagen om medicintekniska produkter. Säkerhets- och utvecklingscentret för läkemedelsområdet är med stöd av 38 § i lagen om medicintekniska produkter behörigt att utföra de inspektioner som avses i MD-förordningen och IVD-förordningen samt att utföra inspektioner för att övervaka annan verksamhet som föreskrivs i lagen. Enligt lagens 39 § ska polisen vid behov ge Säkerhets- och utvecklingscentret för läkemedelsområdet handräckning för utförande av inspektioner. Med stöd av 40 § i lagen har Säkerhets- och utvecklingscentret för läkemedelsområdet rätt att anlita utomstående sakkunniga för att bedöma egenskaper, säkerhet och överensstämmelse med kraven hos medicintekniska produkter och produkter som undersöks i en klinisk prövning och prestandastudie. Utomstående sakkunniga ska ha den sakkunskap och kompetens som uppgifterna i fråga förutsätter. Utomstående sakkunniga kan delta i inspektioner samt undersöka och prova produkter. Säkerhets- och utvecklingscentret för läkemedelsområdet svarar dock självt för det huvudsakliga utförandet av inspektionen och för de slutsatser som dragits vid övervakningen. En utomstående sakkunnig får inte delta i en inspektion som utförs i utrymmen som används för boende av permanent natur. 

Säkerhets- och utvecklingscentret för läkemedelsområdet har dessutom med stöd av lagens 41 § rätt att i undersökningssyfte skaffa en medicinteknisk produkt under annan identitet om det är nödvändigt för tillsynen över den medicintekniska produktens överensstämmelse med kraven. 

Om marknadsföring av en medicinteknisk produkt har skett i strid med lagar eller förordningar, kan Säkerhets- och utvecklingscentret för läkemedelsområdet enligt 42 § i lagen om medicintekniska produkter förbjuda fortsatt eller upprepad marknadsföring. Centret kan också ålägga den som meddelas förbudet att rätta de oriktiga eller bristfälliga uppgifter som lämnats vid marknadsföringen, om detta ska anses vara behövligt för att säkerheten inte ska äventyras. Vidare föreskrivs det i 43 i lagen om medicintekniska produkter att om en medicinteknisk produkt inte överensstämmer med kraven och medför en allvarlig risk för människors hälsa, säkerhet, miljön eller egendom och det är nödvändigt för att undanröja den allvarliga risken, får Säkerhets- och utvecklingscentret för läkemedelsområdet ålägga tjänsteleverantören att avlägsna innehåll som hänvisar till produkten från tjänsteleverantörens webbplats eller något annat onlinegränssnitt som avses i artikel 3.15 i marknadskontrollförordningen. Säkerhets- och utvecklingscentret för läkemedelsområdet får under samma förutsättningar ålägga tjänsteleverantören att visa slutanvändaren en tydlig varning om den risk som produkten medför i samband med användningen av ett onlinegränssnitt. 

Om en aktör har försummat sin skyldighet enligt MD-förordningen eller IVD-förordningen eller lagen om medicintekniska produkter, kan Säkerhets- och utvecklingscentret för läkemedelsområdet enligt 44 § i lagen om medicintekniska produkter ålägga aktören att fullgöra skyldigheten inom en utsatt tid. Centret kan förena sitt föreläggande eller beslut med vite eller med hot om tvångsutförande. 

Arbetarskyddsmyndigheten. Enligt 2 § 1 mom. 1 punkten i lagen i lagen om tillsynen över arbetarskyddet och om arbetarskyddssamarbete på arbetsplatsen (44/2006) avses med arbetarskyddsmyndighet regionförvaltningsverket samt social- och hälsovårdsministeriet när ministeriet sköter uppgifter som hänför sig till tillsynen över produktsäkerheten. I lagen bestäms om förfarandet när arbetarskyddsmyndigheten utövar tillsyn över efterlevnaden av bestämmelserna om arbetarskydd samt om arbetarskyddssamarbetet mellan arbetsgivare och arbetstagare på arbetsplatsen (1 §). I lagens 2 kap. föreskrivs om arbetarskyddsmyndighetens och inspektörens befogenheter och skyldigheter. I lagens 2 föreskrivs om bl.a. rätt att få och lämna ut uppgifter och förrätta inspektioner, på vissa villkor även i utrymmen som omfattas av hemfriden. I 3 kap. ingår bestämmelser om utövande av befogenheter. Om det i samband med tillsynen upptäcks att arbetsgivaren inte iakttar sina skyldigheter, kan inspektören ge en anvisning eller en uppmaning (13 §). Arbetarskyddsmyndigheten kan genom ett beslut ålägga arbetsgivaren att rätta till förhållanden som strider mot bestämmelserna, eller meddela användningsförbud eller temporärt användningsförbud (16 §). Inspektören kan meddela ett temporärt förbud för en produkt (18 §). Ministeriet kan förbjuda att en teknisk anordning överlåts tills den överensstämmer med kraven, eller uppställa begränsningar eller villkor för att anordningen ska få överlåtas (18 §). Anordningen kan också återkallas från marknaden och tas ur bruk (19 §) eller förstöras (19 a §). Om en teknisk anordning medför allvarlig risk för människors hälsa, säkerhet eller egendom och det är nödvändigt för att undanröja den allvarliga risken, får ministeriet enligt lagens 19 b § ålägga tjänsteleverantören att avlägsna innehåll som hänvisar till den tekniska anordningen från sin webbplats eller från något annat i artikel 3.15 i marknadskontrollförordningen avsett onlinegränssnitt eller att visa slutanvändarna en tydlig varning när de använder onlinegränssnittet.  

Arbetarskyddsmyndigheten är den myndighet som utövar tillsyn i fråga om harmoniseringslagstiftningen enligt avsnitt A i bilaga I till AI-förordningen när det gäller personlig skyddsutrustning som är avsedd för arbetsbruk (avsnitt A punkt 9 i bilaga I till AI-förordningen: Europaparlamentets och rådets förordning (EU) 2016/425 av den 9 mars 2016 om personlig skyddsutrustning och om upphävande av rådets direktiv 89/686/EEG), maskiner och vissa anordningar som är avsedda för arbetsbruk (avsnitt A punkt 1 i bilaga I till AI-förordningen: Europaparlamentets och rådets direktiv 2006/42/EG om maskiner och om ändring av direktiv 95/16/EG) samt linbaneanläggningar (avsnitt A punkt 8 i bilaga I till AI-förordningen: Europaparlamentets och rådets förordning (EU) 2016/424 om linbaneanläggningar och om upphävande av direktiv 2000/9/EG). Vid marknadskontrollen av dessa produkter tillämpas dessutom lagen om vissa tekniska anordningars överensstämmelse med gällande krav (1016/2004) samt i fråga om maskiner också statsrådets förordning om maskiners säkerhet (SRf 400/2008). 

Tillsynen riktas i allmänhet till tillverkaren, importören eller distributören. Syftet med tillsynen är att säkerställa att de redskap som används i arbetet är säkra och sunda. Tillsynen genomförs genom att granska produkterna i huvudsak genom fysiska inspektioner i tillverkarnas och importörernas lokaler, butiker, arbetsplatser, läroanstalter samt på mässor. De produkter som granskas väljs ut riskbaserat, med tyngdpunkten på produktkategorier som orsakar betydande risker för användarnas eller andras fysiska säkerhet eller hälsa.  

För närvarande deltar cirka 10–20 arbetarskyddsinspektörer eller ministerietjänstemän i genomförandet av marknadskontrollen, i huvudsak på deltid så att marknadskontrolluppdragen utgör endast en del av dessa personers arbetsuppgifter. Kompetensen inom marknadskontrollen av produkter baserar sig i huvudsak på produkternas tekniska säkerhet, tillsynslagstiftningen samt produktlagstiftningen. Den nuvarande kompetensen stödjer tillsyn enligt AI-förordningen i första hand endast i uppgifter med anknytning till allmän marknadskontrollmekanik och allmänt genomförande av marknadskontrollförordningen. Inom förvaltningen saknas sådan kunskap om AI-teknik och cybersäkerhet samt rättsakter och standarder med anknytning till dem som tillsynen enligt AI-förordningen kräver. 

3.4.1  Dataombudsmannen

Fler av de områden för AI-system med hög risk som uppräknas i bilaga III till förordningen har väsentlig koppling till behandling av personuppgifter. Bestämmelser om behandling av personuppgifter finns i den allmänna dataskyddsförordningen, som är direkt tillämplig, och i den kompletterande dataskyddslagen (1050/2018). Den allmänna dataskyddsförordningen tillämpas i stor utsträckning på behandlingen av personuppgifter. Den allmänna dataskyddsförordningen innehåller bestämmelser om bl.a. de allmänna principerna för behandling av personuppgifter, de rättsliga grunderna för behandlingen, den personuppgiftsansvariges och personuppgiftsbiträdets ansvar samt den registrerades rättigheter. Dataskyddslagen innehåller allmänt tillämpliga bestämmelser som kompletterar den allmänna dataskyddsförordningen bl.a. i fråga om den nationella tillsynsmyndigheten, dvs. dataombudsmannen. 

Enligt 8 § 1 mom. i dataskyddslagen är dataombudsmannen, som finns inom justitieministeriets förvaltningsområde, den nationella tillsynsmyndighet som avses i dataskyddsförordningen. Dataombudsmannen är självständig och oberoende i sin verksamhet (8 § 2 mom. i dataskyddslagen). Dataombudsmannen har på dataskyddsförordningen och 18 § i dataskyddslagen grundade omfattande utredningsbefogenheter, korrigerande befogenheter samt befogenheter att utfärda tillstånd och ge råd. Dataombudsmannen kan också påföra administrativa påföljdsavgifter för brott mot dataskyddsförordningen när den personuppgiftsansvarige är en privat aktör. Administrativa påföljdsavgifter kan inte påföras en myndighet, utan påföljderna bestäms utifrån det tjänstemannarättsliga och straffrättsliga ansvaret samt skadeståndsansvaret.  

Med stöd av dataskyddsförordningen har fysiska personer tillgång till de rättsmedel som avses i dataskyddsförordningen och dataskyddslagen i förhållande till den personuppgiftsansvarige, inklusive rätt till ersättning för materiell eller immateriell skada som orsakats av en överträdelse av dataskyddsförordningen, samt möjlighet att få ärendet behandlat av dataombudsmannen.  

Dataskyddsdirektivet för brottsbekämpning gäller behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten. Dataskyddsdirektivet för brottsbekämpning har genomförts genom lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018, nedan dataskyddslagen avseende brottmål). Lagen innehåller bl.a. allmänna bestämmelser samt bestämmelser om principer, personuppgiftsansvariga och personuppgiftsbiträden, överföringar av personuppgifter till tredjeländer och internationella organisationer, tillsynsmyndighet, samarbete, rättsmedel samt ansvar och påföljder. Dataombudsmannen övervakar även efterlevnaden av dataskyddslagen avseende brottmål. Bestämmelser om dataombudsmannens uppgifter och befogenheter ingår i 8 kap. i dataskyddslagen avseende brottmål. 

För AI-system med hög risk som förtecknas i punkt 1 i bilaga III till förordningen ska medlemsstaterna, i den mån systemen används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati, och för AI-system med hög risk som förtecknas i punkterna 6, 7 och 8 i bilaga III till denna förordning, till marknadskontrollmyndigheter de behöriga tillsynsmyndigheterna för dataskydd enligt den allmänna dataskyddsförordningen eller direktiv (EU) 2016/680, eller någon annan myndighet som utsetts enligt de villkor som fastställs i artiklarna 41–44 i dataskyddsdirektivet för brottsbekämpning. I följande avsnitt 3.4.1.1. och 3.4.1.2. behandlas de myndigheter och aktörer som tillhandahåller, tar i bruk eller använder AI-system enligt ovannämnda punkter i bilaga III som kan bli föremål för marknadskontroll. 

3.4.2  Tillsynsmyndigheter för kritisk infrastruktur

Till områden för AI-system med hög risk hör med stöd av punkt 2 i bilaga III till AI-förordningen sådana AI-system som används inom kritisk infrastruktur och som är avsedda att användas som säkerhetskomponenter i samband med förvaltning och drift av kritisk digital infrastruktur, vägtrafik eller i samband med tillhandahållande av vatten, gas, värme och el. I nuläget riktas ingen myndighetstillsyns till sådana AI-system som avses i punkt 2 i bilaga III till AI-förordningen och som används som säkerhetskomponenter inom kritisk infrastruktur.  

Energimyndigheten är en tillstånds- och tillsynsmyndighet vars uppgifter regleras i lagen om Energimyndigheten (870/2013). I 1 § i den lagen föreskrivs det att för tillsyn och kontroll av el- och naturgasmarknaden, främjande av en fungerande el- och naturgasmarknad, energieffektiviteten och användningen av förnybar energi samt för verkställighetsuppgifter inom energipolitiken, utsläppshandeln med växthusgaser och energieffektiviteten finns Energimyndigheten. Närmare bestämmelser om de uppgifter som hänför sig till tillsynen över el- och naturgasmarknaden finns i lagen om tillsyn över el- och naturgasmarknaden (590/2013), enligt vars 2 § lagen tillämpas på skötseln av de tillsyns- och uppföljningsuppgifter som Energimyndigheten har enligt bl.a. elmarknadslagen (588/2013) och naturgasmarknadslagen (587/2013). 

I 30 § i lagen om tillsyn över el- och naturgasmarknaden föreskrivs det om Energimyndighetens rätt att få uppgifter och utföra granskningar. Enligt lagen ska näringsidkare som bedriver verksamhet som är underkastad tillsyn lämna Energimyndigheten den information och de handlingar som behövs för skötseln av de tillsynsuppgifter som avses i den lagen. Utöver detta ska Energimyndigheten ges de statistikuppgifter och andra uppgifter som behövs för skötseln av andra uppgifter som avses i lagen eller för uppfyllande av internationella avtalsförpliktelser. 

Säkerhets- och kemikalieverkets tillstånds- och tillsynsobjekt med stöd av lagen om säkerhet vid hantering av farliga kemikalier och explosiva varor (390/2005), kemikaliesäkerhetslagen, lagen om tryckbärande anordningar och elsäkerhetslagen är bl.a. industrianläggningar som hanterar farliga kemikalier, flytgas- och naturgasanläggningar, fabriker och upplag för explosiva varor, tryckbärande anordningar och produktionsanläggningar som använder sådana. Även installation, användning och inspektion av distributionsnät och elektriska installationer i fastigheter omfattas av tillsynen. Säkerhets- och kemikalieverket har tillsynsuppgifter inom arbets- och näringsministeriets, social- och hälsovårdsministeriets, miljöministeriets, jord- och skogsbruksministeriets, kommunikationsministeriets och inrikesministeriets förvaltningsområden. 

Transport- och kommunikationsverket är tillsynsmyndighet inom sektorn för digital infrastruktur, och bestämmelser om verkets tillsynsuppgifter ingår i lagen om tjänster inom elektronisk kommunikation. I detta sammanhang är det bra att beakta även regeringens proposition (RP 57/2024 rd) om det nationella genomförandet av NIS 2-direktivet. När det gäller digital infrastruktur övervakar Transport- och kommunikationsverket dataskyddet och driftssäkerheten hos bl.a. tillhandahållarna av allmänna elektroniska kommunikationsnät och kommunikationstjänster, dvs. teleföretagen, vilket även omfattar dessa aktörers beredskapsplanering. Dessutom är verket marknadstillsynsmyndighet för kommunikationsmarknaden. I 315 § i lagen om tjänster inom elektronisk kommunikation föreskrivs det om rätt för Transport- och kommunikationsverket att trots sekretessbestämmelserna få den information verket behöver för skötseln av sina tillsynsuppgifter. Transport- och kommunikationsverket är också tillsynsmyndighet för väghållningen enligt lagen om trafiksystem och landsvägar (503/2005). Med stöd av lagen om transportservice omfattar verkets tillsyn även vägtrafikstyrnings- och vägtrafikledningstjänster. 

Närings-, trafik- och miljöcentralen i Södra Savolax är tillsynsmyndighet enligt lagen om vattentjänster (119/2001) och övervakar bl.a. beredskapsplaneringen enligt lagen om vattentjänster och deltar i utarbetandet av riskbedömningar enligt hälsoskyddslagen. Den kommunala hälsoskyddsmyndigheten utövar med stöd av hälsoskyddslagen tillsyn över vattenkvaliteten i anläggningar som levererar hushållsvatten samt över genomförandet av riskhanteringsplanen och egenkontrollen. Närings-, trafik- och miljöcentralerna utövar inom sina verksamhetsområden tillsyn över efterlevnaden av bestämmelserna om beredskap och störningssituationer i beslut om miljötillstånd för avloppsreningsverk som meddelats med stöd av miljöskyddslagen.  

3.4.3  Myndigheter, offentligrättsliga inrättningar och privata aktörer som sköter offentliga förvaltningsuppgifter på områdena för väsentliga privata tjänster och väsentliga offentliga tjänster och förmåner

Till områden för AI-system med hög risk hör med stöd av punkt 5 a i bilaga III till AI-förordningen sådana AI-system som är avsedda att användas av offentliga myndigheter eller för offentliga myndigheters räkning för att utvärdera fysiska personers rätt till väsentliga förmåner och tjänster i form av offentligt stöd, inbegripet hälso- och sjukvårdstjänster, samt för att bevilja, minska, upphäva eller återkalla sådana förmåner och tjänster. I skäl 58 i AI-förordningens ingress konstateras att ett område där användningen av AI-system förtjänar särskild vaksamhet är när det gäller tillgång till och åtnjutande av vissa väsentliga privata och offentliga tjänster och förmåner som är nödvändiga för att människor fullt ut ska kunna delta i samhället eller förbättra sin levnadsstandard. I synnerhet är personer som ansöker om eller får hälso- och sjukvårdstjänster, sociala trygghetsförmåner eller sociala tjänster från offentliga myndigheter vanligtvis beroende av dessa förmåner och tjänster och befinner sig i en utsatt situation i förhållande till de ansvariga myndigheterna. Om AI-system används för att avgöra om sådana förmåner och tjänster ska beviljas, vägras, minskas, upphävas eller återkallas av myndigheterna, inbegripet huruvida mottagarna är legitimt berättigade till sådana förmåner eller tjänster, kan dessa system ha en betydande inverkan på personers försörjning och kan inkräkta på deras grundläggande rättigheter, såsom rätten till socialt skydd, icke-diskriminering, mänsklig värdighet eller ett effektivt rättsmedel och bör där klassificeras som AI-system med hög risk.  

I Finland ingår bestämmelser om väsentliga förmåner och tjänster i form av offentligt stöd i den nationella lagstiftningen. Väsentliga förmåner i form av offentligt stöd är t.ex. sociala trygghetsförmåner, som det föreskrivs om i lagstiftningen om social trygghet och för vilkas beviljande t.ex. Folkpensionsanstalten, pensionsanstalterna och arbetslöshetskassorna svarar. I Finland baserar sig den sociala tryggheten till stor del på lagstadgade försäkringar. Denna helhet kallas socialförsäkring. De socialförsäkringsbaserade stödformerna består av bl.a. arbetspension, arbetsolycksfalls- och yrkessjukdomsförsäkring, sjukförsäkring, utkomstskydd för arbetslösa samt garanti- och folkpensioner. Socialförsäkring tryggar försörjningen vid barnafödsel, ålderdom, arbetsoförmåga, sjukdom och arbetslöshet samt vid ekonomiska förluster som orsakats av familjeförsörjarens död. Vissa av förmånerna bygger på inkomst och arbete, andra på boende i Finland. Medlen för förmånerna samlas in från de försäkrade och arbetsgivarna genom försäkringspremier och försäkringsavgifter. En del av förmånerna finansieras av statens skattemedel. 

Det finländska arbetspensionssystemet har en etablerad och erkänd EU-rättslig ställning. Finlands arbetspensionssystem står utanför EU:s gränsöverskridande konkurrens inom försäkringsbranschen och omfattas inte av den livförsäkringslagstiftning som reglerar sektorn. Karaktären av social trygghet i vårt arbetspensionssystem utgör grunden för den EU-rättsliga ställningen. Arbetspensionen omfattas av EU:s förordning om samordning av de sociala trygghetssystemen. Den EU-rättsliga ställningen gäller endast lagstiftningen om livförsäkringsbolag, inte annan EU-lagstiftning. Därmed omfattas arbetspensionsförsäkrarna exempelvis av EU:s konkurrenslagstiftning och övrig EU-lagstiftning avseende finanssektorn, såsom investeringsverksamhet. 

Trafikförsäkringen är en obligatorisk lagstadgad försäkring för alla motorfordon i trafik. Trafikförsäkringen ersätter personskador samt skador på annans egendom. Försäkringen är en del av den finländska sociala tryggheten; den garanterar ett rättvist skydd i olyckssituationer. Patientförsäkringen är en lagstadgad försäkring som ger skydd för företag och personer som utövar hälso- och sjukvård i händelse av en personskada, som inträffar i samband med hälso- eller sjukvården. Försäkringen ersätter personskador som patienten åsamkats av en yrkesutbildad person inom hälso- och sjukvården i samband med en vårdåtgärd eller av den utrustning som använts vid vårdåtgärden. 

Väsentliga tjänster i form av offentligt stöd är t.ex. hälso- och sjukvårdstjänster och sociala tjänster, som det föreskrivs om i hälso- och sjukvårds- och socialvårdslagstiftningen. Sålunda, om en myndighet som svarar för dessa förmåner och tjänster i form av offentligt stöd eller någon som handlar för myndighetens räkning använder ett AI-system på det sätt som avses i punkt 5 a i bilaga III, bör denna med iakttagande av AI-förordningen bedöma om det är fråga om ett AI-system med hög risk, med hänsyn även till det undantag som föreskrivs i artikel 6 i förordningen. Framför allt när det är fråga om hälso- och sjukvårdstjänster bör man dessutom beakta att även den harmoniseringslagstiftning som avses i avsnitt A punkterna 11 och 12 i bilaga I till förordningen (medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik) kan vara tillämplig på AI-systemet. 

Folkpensionsanstalten, nedan även FPA, är enligt 1 § i lagen om Folkpensionsanstalten (731/2001) en självständig offentligrättslig inrättning, vars förvaltning och verksamhet övervakas av fullmäktige som väljs av riksdagen. Enligt 2 § i den lagen finns bestämmelser om FPA:s uppgifter som gäller social trygghet och uppgifter som gäller informationshanteringstjänster inom social- och hälsovården i separata lagar. FPA kan enligt avtal också handha annan verkställighet som hänför sig till social trygghet samt tillhandahålla andra tjänster. Den ska dessutom informera om förmånerna och om sin service, bedriva forskning som tjänar utvecklandet av förmånssystemen och den egna verksamheten, utarbeta statistik, beräkningar och prognoser, samt ge förslag till utvecklande av lagstiftningen angående sitt verksamhetsområde. I 20 § i lagen om Folkpensionsanstalten föreskrivs det om beslutanderätten vid avgörande av förmåner så att rätten till sjukpension bedöms och beslut om sjukpension fattas centraliserat i FPA, och övriga förmånsbeslut fattas vid byråerna eller andra lokalförvaltningsenheter, om inte något annat bestäms i arbetsordningen. Enligt lagens 22 a § tillämpas i fråga om motivering av förmånsbeslut det som föreskrivs i 45 § i förvaltningslagen. Om FPA avslår förmånsansökan helt eller delvis och beslutet till centrala delar grundar sig på medicinska omständigheter, ska motiveringen till beslutet innehålla de omständigheter som i huvudsak har inverkat på bedömningen och de slutsatser som dragits utifrån dessa omständigheter. Enligt lagens 22 b § kan FPA på begäran ge handräckning till andra myndigheter eller organisationer som är förhindrade att utföra en lagstadgad offentlig förvaltningsuppgift förutsatt att handräckningen anknyter till FPA:s lagstadgade uppgifter. Enligt lagens 24 § får ett beslut av FPA överklagas genom besvär hos förvaltningsdomstolen, om inte annat föreskrivs någon annanstans i fråga om sökande av ändring. Över förvaltningsdomstolens beslut får besvär anföras endast om högsta förvaltningsdomstolen beviljar besvärstillstånd. 

FPA:s författningsrättsliga särställning baserar sig på 36 § i grundlagen, och genom den konstitutionella praxis som utformats på grund av den har FPA ställts under riksdagens inflytande. Fullmäktiges tillsynsbefogenhet har ansetts utesluta eller begränsa andra statliga organs möjligheter att ingripa i FPA:s verksamhet. Grundlagsutskottets har brukat anse att på grund av sin författningsrättsliga särställning är Folkpensionsanstalten fristående med avseende på de styrnings- och tillsynsförhållanden som gäller det myndighetsmaskineri som lyder under statsrådet och ministerierna. Dock övervakas FPA:s verksamhet av även andra aktörer än riksdagen, såsom de högsta laglighetsövervakarna samt dataombudsmannen vad gäller genomförandet av den allmänna dataskyddsförordningen och den dataskyddslagstiftning som genomför den.  

Till områden för AI-system med hög risk hör med stöd av punkt 5 d i bilaga III till AI-förordningen sådana AI-system som är avsedda att utvärdera och klassificera nödsamtal från fysiska personer eller användas för att sända ut eller för att fastställa prioriteringsordningen för utsändning av larmtjänster, inbegripet polis, brandkår och ambulans, samt av patientsorteringssystem för akutsjukvård. Sådana AI-system med hög risk som avses i punkt 5 d i den bilagan kan i Finland vara t.ex. AI-system som används av Nödcentralsverket eller för dess räkning och som används på det sätt som avses i punkten. I lagen om nödcentralsverksamhet (692/2010) föreskrivs det om Nödcentralsverket och dess verksamhet. Enligt lagens 4 § har Nödcentralsverket till uppgift att producera nödcentralstjänster, producera brådskande stödtjänster med anknytning till produktionen av nödcentralstjänster och producera andra stödtjänster, underhålla och utveckla nödcentralsdatasystemet, samt utveckla, utbilda i och övervaka uppgifter och rutiner med anknytning till nödcentralstjänster. Den allmänna styrningen och övervakningen av Nödcentralsverket ankommer på inrikesministeriet, medan inrikesministeriet samt social- och hälsovårdsministeriet svarar gemensamt för den funktionella styrningen av Nödcentralsverket (3 § i lagen om nödcentralsverksamhet). I den nationella lagstiftningen föreskrivs det dessutom om t.ex. ordnandet av räddningstjänster och prehospital akutsjukvård. 

3.10.1  Avgränsning av tillämpningsområdet för den nationella lagen

Det är nödvändigt att avgränsa tillämpningsområdet för den nya lagen om tillsyn över vissa system för artificiell intelligens nationellt. Den föreslagna lagen ska tillämpas i överensstämmelse med det tillämpningsområde som anges i artikel 2 i AI-förordningen. Artikeln i fråga lämnar det dock öppet huruvida förordningen ska tillämpas på de nationella parlamentens eller högsta laglighetsövervakarnas verksamhet. På grund av grundlagsutskottets påpekanden är det nödvändigt att avgränsa den föreslagna lagens tillämpningsområde så att riksdagsarbetet och riksdagens kansli ställs utanför lagens tillämpningsområde. Riksdagens övriga ämbetsverk ska omfattas av den föreslagna lagen under vissa förutsättningar. Det är också nödvändigt att ställa de högsta laglighetsövervakarna utanför den föreslagna lagens tillämpningsområde. I kapitel 12 Förhållande till grundlagen samt lagstiftningsordning bedöms vad det innebär att riksdagsarbetet, riksdagens ämbetsverk och de högsta laglighetsövervakarna ställs utanför den föreslagna lagens tillämpningsområde. 

3.10.2  Behov av ändringar i marknadskontrollagen

Eftersom marknadskontrollförordningen, som kompletterats nationellt genom marknadskontrollagen, tillämpas på AI-system som omfattas av AI-förordningens tillämpningsområde, är det nödvändigt att utvidga tillämpningsområdet enligt 1 § i marknadskontrollagen till även tillsyn över AI-system. Det har inte ansetts nödvändigt att ändra andra nationella sektorlagar som hör till området för unionens harmoniseringslagstiftning, utan de är tillämpliga som sådana till den del de innehåller mera specialiserade bestämmelser än marknadskontrollförordningen och marknadskontrollagen. Trots att AI-förordningen och den nationella lag som föreslås med stöd av den utgör sektorspecifik reglering inom marknadskontrollsystemet, är AI-regleringen på grund av sin digitala karaktär också horisontell och sträcker sig till de produktsektorer som omfattas av avsnitt A i bilaga I till förordningen, varför AI-regleringen måste beaktas även när de sektorlagarna tillämpas. Detta samband följer direkt med stöd av förordningen, och det är inte nödvändigt att föreskriva om det på nationell nivå i speciallagarna om de aktuella produktsektorerna. 

I 4 § i marknadskontrollagen föreskrivs det om de tillsynsmyndigheter som är behöriga med stöd av lagen, och därför är det nödvändigt att till lagbestämmelsen foga en hänvisning till de myndigheter som blir behöriga med stöd av den föreslagna lagen. Av lagtekniska orsaker är det nödvändigt att göra ändringen i form av en hänvisning, eftersom myndigheterna är flera. Syftet med den föreslagna lagändringen är att säkerställa att de myndigheter som blir behöriga med stöd av den föreslagna lagen har åtminstone alla befogenheter som föreskrivs i marknadskontrollagen och som grundar sig på marknadskontrollförordningen för att sköta sina uppgifter i anslutning till tillsynen över AI-system. Befogenheterna enligt marknadskontrollagen beskrivs i avsnitt 3.1.3. 

I övrigt anses det inte behövas några ändringar i marknadskontrollagen, eftersom marknadskontrollförordningen är helt och hållet tillämplig på AI-förordningen, och sålunda är också marknadskontrollagen helt och hållet tillämplig när AI-förordningen och den föreslagna lag som hänför sig till nationella genomförandet av förordningen tillämpas, dock med beaktande av eventuella sektorspecifika särskilda bestämmelser. 

3.10.3  Behöriga myndigheter samt deras befogenheter och uppgifter

Marknadskontroll av AI-system med hög risk. I den föreslagna lagen om tillsyn över vissa system för artificiell intelligens ska behöriga myndigheter utses enligt AI-förordningen och deras uppgifter anges. Enligt artikel 74.3 i förordningen ska marknadskontrollmyndigheten för AI-system med hög risk som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I vid tillämpning av förordningen vara den myndighet ansvarig för marknadskontroll som utsetts enligt de rättsakterna, även om bestämmelsen innehåller handlingsutrymme. Det nationella marknadskontrollsystemet baserar sig på en decentraliserad tillsynsmodell, varför det anses ändamålsenligt att ordna även tillsynen enligt AI-förordningen decentraliserat, på ett sätt som motsvarar det nuvarande arrangemanget. En viktig orsak till detta är att det är skäl att förbereda sig på AI-teknikens snabba utveckling genom att utöka de tekniska kunskaperna genom hela marknadskontrollsystemet. Inom vissa produktsektorer kan utvecklingen vara snabbare än inom andra, men behovet av att förbereda de tekniska kunskaperna kommer att gälla alla förr eller senare. Det anses således ändamålsenligt att i den föreslagna lagen föreskriva att de marknadskontrollmyndigheter som redan i nuläget svarar för marknadskontrollen av de produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i den bilagan i fortsättningen ska ansvara för marknadskontrollen av AI-system med hög risk som hänför sig till dessa produkter.  

I den föreslagna lagen behöver det också föreskrivas om de myndigheter som utövar tillsyn över AI-system med hög risk för de ändamål som avses i artikel 6.2 i förordningen och som förtecknas i bilaga III. Enligt artikel 74.8 i förordningen ska medlemsstaterna för AI-system med hög risk som förtecknas i punkt 1 i bilaga III till förordningen, i den mån systemen används för brottsbekämpande ändamål, gränsförvaltning och rättvisa och demokrati, och för AI-system med hög risk som förtecknas i punkterna 6, 7 och 8 i bilaga III till förordningen, till marknadskontrollmyndigheter utse antingen de behöriga tillsynsmyndigheterna för dataskydd enligt bestämmelsen eller någon annan myndighet som uppfyller kraven enligt artikeln. Nationellt har det ansetts ändamålsenligt att anvisa dataombudsmannen marknadskontrolluppgiften i fråga om sådana AI-system med hög risk där det i mycket hög grad handlar om behandling av personuppgifter. Dataombudsmannens befogenheter inom dataskyddet i anslutning till brottmål talar också för att tillsynsansvaret för AI-system med hög risk som används för brottsbekämpande ändamål ska anvisas dataombudsmannen.  

Ändamål med central anknytning till personuppgifter anses i detta sammanhang vara biometri enligt punkt 1, småbarnspedagogik och utbildning enligt punkt 3, anställning, arbetsledning och tillgång till egenföretagande enligt punkt 4, utvärdering av fysiska personers kreditvärdighet eller fastställande av deras kreditbetyg enligt punkt 5 b, brottsbekämpning enligt punkt 6, migration, asyl och gränskontrollförvaltning enligt punkt 7, samt rättskipning och demokratiska processer enligt punkt 8 i bilaga III till förordningen. Till den del som tillsynen inom dessa områden för närvarande är decentraliserad, borde myndigheterna samarbeta för att möjliggöra en effektiv tillsynshelhet. Detta anses ändå inte kräva bestämmelser om samarbetet i speciallagstiftningen, utan marknadskontrollmyndigheternas samarbete sker genom marknadskontrollförordningens och marknadskontrollagens strukturer. 

Enligt marknadskontrollförordningen bör marknadskontrollmyndigheterna ha en gemensam uppsättning av utrednings- och tillsynsbefogenheter, som möjliggör fördjupat samarbete mellan marknadskontrollmyndigheterna och mer effektiva avskräckande åtgärder mot ekonomiska aktörer som medvetet bryter mot harmoniserad unionslagstiftning (skäl 34 i ingressen), och för att underlätta samarbetet bör medlemsstaterna tillsätta ett centralt samordningskontor (skäl 27 i ingressen). Bestämmelser om gemensamma befogenheter finns i 3 kap. i marknadskontrollagen och om det centrala samordningskontoret i 2 kap. 4 a § i den lagen. Enligt 2 mom. i den paragrafen ska samordningskontoret bl.a. bistå marknadskontrollmyndigheterna vid det nationella och internationella samarbetet. 

Speciallagstiftningen inom justitieministeriets förvaltningsområde har inte bedömts innehålla reglering som överlappar eller orsakar konflikter med AI-förordningen och som skulle förutsätta att den nationella lagstiftningen inom justitieministeriets förvaltningsområde ändras. Inom justitieministeriets förvaltningsområde utformas tillsynen över elektronisk behandling av ärenden, informationssystem och informationshantering i enlighet med det som föreskrivs i bl.a. lagen om informationshantering inom den offentliga förvaltningen (906/2019), lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003), lagen om tillhandahållande av digitala tjänster (306/2019), 8 b kap. om automatiserat avgörande av ärenden i förvaltningslagen samt den allmänna dataskyddsförordningen, dataskyddslagen och lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten. Dessutom, eftersom AI-förordningen är avsedd att komplettera den gällande unionsrätten, och eftersom den inte får påverka unionsrätten (skäl 9 i ingressen), särskilt om bl.a. dataskydd, grundläggande rättigheter och konsumentskydd, anses det inte nödvändigt att göra ändringar i de nämnda lagarna. 

Enligt artikel 74.6 i AI-förordningen ska marknadskontrollmyndigheten för AI-system med hög risk som släpps ut på marknaden, tas i bruk eller används av finansinstitut som regleras av unionsrätten om finansiella tjänster vid tillämpning av förordningen vara den berörda nationella myndighet som enligt den lagstiftningen ansvarar för den finansiella tillsynen över dessa institut, i den mån utsläppandet på marknaden, ibruktagandet eller användningen av AI-systemet står i direkt samband med tillhandahållandet av dessa finansiella tjänster. Trots att det i artikel 74.7 föreskrivs om nationellt handlingsutrymme i detta avseende, anses det i denna proposition ändamålsenligt att hålla sig till utgångspunkten i förordningen och föreskriva att Finansinspektionen ska utöva tillsyn över AI-system med hög risk som står i direkt samband med finansiella tjänster som tillhandahålls av finansinstitut som regleras av unionsrätten om finansiella tjänster. Dessutom är det nödvändigt att göra flera detaljerade ändringar i lagen om Finansinspektionen till följd av bl.a. Finansinspektionens nya marknadskontrolluppgift och befogenhet att påföra påföljder för överträdelse av AI-förordningen.  

I den föreslagna lagen föreskrivs det också att på Finansinspektionen ankommer skyldigheten enligt artikel 74.7 i AI-förordningen att utan dröjsmål till Europeiska centralbanken rapportera all information som identifierats i samband med dess marknadskontroll och som kan vara av potentiellt intresse för Europeiska centralbankens tillsynsuppgifter enligt rådets förordning (EU) nr 1024/2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut.  

I den föreslagna lagen bör det föreskrivas om den marknadskontrollmyndighet som utövar tillsyn över AI-system med hög risk enligt punkterna 5 a och d i bilaga III till förordningen. Eftersom de nämnda punkterna på ett väsentligt sätt hänför sig till social- och hälsovården, anses det motiverat att anvisa Tillstånds- och tillsynsverket för social- och hälsovården uppgiften som marknadskontrollmyndighet på grundval av verkets nuvarande uppgifter. När det gäller dessa punkter fördelas behörigheten dock så att Finansinspektionen svarar för tillsynen i fråga om användningsfall som avses i punkt 5 a i bilaga III när det är fråga om arbetslöshets- eller försäkringskassor, skadeförsäkringsbolag eller pensionsanstalter medan Regionförvaltningsverket i Sydvästra Finland svarar för tillsynen i fråga om användningsfall som avses i punkt 5 d i den bilagan när det är fråga om nödcentralstjänster, räddningsverksamhet eller polisens verksamhet. Det anses inte behövas några ändringar i lagen om Tillstånds- och tillsynsverket för social- och hälsovården, för med stöd av 2 § 1 mom. 3 punkten i lagen ska verket också sköta uppgifter som ankommer på det enligt någon annan lag än de lagar som nämns i 1 punkten. 

Med stöd av kunduppgiftslagen utövar Tillstånds- och tillsynsverket för social- och hälsovården också tillsyn över FPA när FPA sköter uppgifter i anslutning till riksomfattande informationssystem (Kanta-tjänsterna). Den tillsyn som avses i AI-förordningen bör riktas även till FPA när FPA utnyttjar sådana AI-system med hög risk som avses i förordningen. Detta befintliga tillsynsförhållande talar för att Tillstånds- och tillsynsverket för social- och hälsovården anvisas tillsynsansvaret för AI-system med hög risk. 

I den föreslagna föreskrivs att marknadskontrollmyndigheter för AI-system med hög risk enligt punkt 2 i bilaga III till förordningen som är avsedda att användas som säkerhetskomponenter i kritisk infrastruktur ska med vissa undantag vara de behöriga myndigheter som har angetts i samband med beredningen av det nationella genomförandet av CER-direktivet (se RP 205/2024 rd). Enligt artikel 3.62 i AI-förordningen avses med kritisk infrastruktur kritisk infrastruktur enligt definitionen i artikel 2.4 i CER-direktivet och myndighetsansvaren enligt den nationella lösningen baserar sig i huvudsak på de sektorer, undersektorer och kategorier av entiteter som anges i bilagan till CER-direktivet.  

Tabell 2. Marknadskontrollmyndigheter för AI-system med hög risk enligt bilaga III till AI-förordningen  

Marknadskontrollmyndigheternas uppgifter och befogenheter. Eftersom marknadskontrollförordningen tillämpas på AI-förordningen, följer befogenheterna och uppgifterna för de marknadskontrollmyndigheter som är behöriga med stöd av AI-förordningen av det s.k. regelverket för marknadskontroll, dvs. AI-förordningen, marknadskontrollförordningen, marknadskontrollagen, unionens harmoniseringslagstiftning och den nationella sektorlagstiftning som utfärdats med stöd av den. Bestämmelser om uppgifterna och befogenheterna för marknadskontrollmyndigheterna ingår i huvudsak i kapitel IX avsnitt 3 i förordningen och befogenheterna enligt marknadskontrollagen beskrivs i avsnitt 3.3. Även på andra ställen i förordningen föreskrivs det om uppgifter eller befogenheter, såsom deltagande i utarbetandet av förfarandekoder på kommissionens uppmaning (artikel 56.3), vägledning och råd till små och medelstora företag, inbegripet uppstartsföretag (artikel 70.8) och uppgifter i anslutning till regulatoriska sandlådor (artiklarna 57–58). Marknadskontrollmyndigheternas centrala rättigheter att få och lämna ut information samt inspektionsrättigheter följer likaså av marknadskontrollförordningens och AI-förordningens regleringsram, inbegripet marknadskontrollagen och den föreslagna lagen.  

Bestämmelser om nationellt samarbete som kompletterar marknadskontrollförordningen finns i marknadskontrollagen, men i marknadskontrollförordningen är samarbetet inte begränsat till de nationella myndigheterna, utan det omfattar hela unionen. Bestämmelser om gränsöverskridande ömsesidig assistans finns i kapitel VI i marknadskontrollförordningen och bestämmelser om samordnad tillsyn och internationellt samarbete i kapitel VIII i den förordningen. Enligt artikel 77 i AI-förordningen ska marknadskontrollmyndigheterna bistå myndigheter som skyddar de grundläggande fri- och rättigheterna vid utförandet av uppgifter som hör till dessas befogenheter. De befogenheter och uppgifter som följer av förordningen anses komplettera befogenheterna och uppgifterna enligt marknadskontrollförordningen och marknadskontrollagen samt sektorlagarna på ett tillräckligt och exakt sätt så att utifrån en helhetsbedömning anses det inte nödvändigt att i föreslagna lagen föreskriva om ytterligare uppgifter eller befogenheter för marknadskontrollmyndigheterna utöver det som följer av dem och det som påföljdssystemet förutsätter, eller att utfärda preciserande bestämmelser om uppgifterna eller befogenheterna.  

Ett och samma AI-system kan omfattas av flera behöriga myndigheters marknadskontroll. Produkten kan samtidigt beröras av krav enligt flera olika sektorlagar. Förutom kraven på AI-system kan till exempel kraven på radioutrustning med stöd av lagen om tjänster inom elektronisk kommunikation samt kraven på leksaker med stöd av lagen om leksakers säkerhet vara tillämpliga på produkten. Då är Säkerhets- och kemikalieverket (och Tullen) marknadskontrollmyndighet i fråga om kraven på leksaker och AI-system och Transport- och kommunikationsverket marknadskontrollmyndighet i fråga om radioutrustning, och båda kan rikta åtgärder enligt marknadskontrollagen till samma produkt samtidigt. Med Finlands decentraliserade marknadskontrollsystem är det inte möjligt att undvika sådana situationer. I den praktiska tillsynen kan oklarheter underlättas genom anvisningar och myndigheternas samarbete, och för att främja det spelar samordningskontoret för marknadskontrollen och den gemensamma kontaktpunkten enligt AI-förordningen en central roll. 

Gemensam kontaktpunkt. Enligt artikel 70.2 ska varje medlemsstat också utse en marknadskontrollmyndighet, som är gemensam kontaktpunkt för förordningen. I den föreslagna lagen är det nödvändigt att föreskriva om den marknadskontrollmyndighet som ska vara gemensam kontaktpunkt och om dess uppgifter och befogenheter, som stödjer en effektiv tillämpning av förordningen. Som sådana uppgifter har under beredningen identifierats bl.a. myndigheternas samarbete i anslutning till genomförandet av AI-förordningen och samordning av det, kontakt med EU:s samarbetsorgan och andra medlemsstaters behöriga myndigheter i frågor som gäller genomförandet av förordningen samt de rapporteringsskyldigheter som följer av artikel 99 i förordningen. Myndigheternas samarbete samt främjande och samordning av det spelar en viktig roll för att säkerställa en nationellt enhetlig tolkning av AI-förordningen samt en enhetlig och effektiv tillsyns- och påföljdspraxis. Under den nationella beredningen har dessutom identifierats behov av att stödja andra tillsynsmyndigheter vid skötseln av de nya AI-uppgifterna, och därför är det nödvändigt att föreskriva att den gemensamma kontaktpunkten ska erbjuda de myndigheter som är behöriga myndigheter med stöd av den föreslagna lagen samt de myndigheter som skyddar de grundläggande fri- och rättigheterna enligt artikel 77 i AI-förordningen expertstöd i anslutning till AI-teknik. För skötseln av den gemensamma kontaktpunktens uppgifter anses det nödvändigt att föreskrivna nationellt om rätt att få information av andra marknadskontrollmyndigheter enligt denna lag samt om en påföljdsavgiftsnämnd för tillsynen över AI-system för artificiell intelligens. Dessutom är det nödvändigt att föreskriva om rätt för den gemensamma kontaktpunkten att lämna ut information till Europeiska kommissionen för att den ska kunna sköta sina uppgifter.  

Anmälande myndigheter. Artikel 28.1 i förordningen förpliktar varje medlemsstat att utse eller inrätta minst en anmälande myndighet. Bedömningen av överensstämmelse enligt AI-förordningen i fråga om AI-system med hög risk samt utseende och anmälan av organ för bedömning av överensstämmelse förutsätter ny reglering. I den gällande nationella lagstiftningen finns inga uttryckliga bestämmelser om utseende och anmälan av anmälda organ för AI-system.  

I fråga om de AI-system med hög risk som hänför sig till de produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I till AI-förordningen är anmälande myndigheter enligt propositionen i fortsättningen de myndigheter som redan i nuläget ansvarar för anmälda organ för produkterna i fråga.  

I artikel 43.1 i AI-förordningen förutsätts att ett anmält organ utför bedömning av överensstämmelse i fråga om de AI-system med hög risk för biometri som avses i punkt 1 i bilaga III till förordningen. Av denna orsak är det nödvändigt att i den nationella lagstiftningen fastställa en helt ny myndighetsuppgift med ansvar för anmälda organ för dessa AI-system med hög risk. Dessutom förutsätts det i artikel 43.1 tredje stycket i AI-förordningen att anmält organ för vissa AI-system med hög risk för biometri är den marknadskontrollmyndighet som avses i artikel 74.8 i förordningen. I den nationella lagstiftningen har det ansetts nödvändigt att föreskriva om denna marknadskontrollmyndighets uppgift som anmält organ på det sätt som förordningen förutsätter. I den gällande nationella lagstiftningen finns inga exempel på en motsvarande situation där en myndighet är anmält organ. 

Dessutom har det ansetts nödvändigt att i den nationella lagstiftningen ta in reglering som kompletterar AI-förordningen om t.ex. förfarandet för ansökan om och utseende av anmälda organ samt om dataombudsmannens ställning som anmält organ. Bedömning av ett AI-systems överensstämmelse med kraven som utförs av ett anmält organ handlar om en offentlig förvaltningsuppgift, och därför måste den nationella lagstiftningen om anmälda organ uppfylla regleringskraven enligt 124 § i grundlagen. 

Enligt artikel 31.9 ska anmälda organ teckna en lämplig ansvarsförsäkring för sin verksamhet avseende bedömningar av överensstämmelse, såvida inte den medlemsstat i vilken de är etablerade tar på sig ansvaret i överensstämmelse med nationell rätt eller den medlemsstaten är direkt ansvarig för bedömningen av överensstämmelse. Till denna del anses det inte nödvändigt att ta in bestämmelser i den nationella lagstiftningen som avviker från förordningen, så huvudregeln i artikel 31.9 är direkt tillämplig på och förpliktande för de anmälda organen. När dataombudsmannen är anmält organ ankommer ansvaret för bedömningen av överensstämmelse på staten i enlighet med bestämmelsen. 

Tillsyn över förbjudna AI-användningsområden. De förbjudna AI-användningsområdena enligt artikel 5 i förordningen är förbjudna direkt med stöd av förordningen och förpliktande för alla operatörer som definieras i förordningen. Tillsynen över dessa förbjudna användningsområden är i mycket hög grad verksamhet som baserar sig på behandling av personuppgifter, och därför är det ändamålsenligt att dataombudsmannen är marknadskontrollmyndighet i fråga om de förbjudna användningsområden som avses i artikel 5. Det är nödvändigt att föreskriva om denna roll i den föreslagna lagen. Så som konstateras ovan har det inte identifierats några ändringsbehov i lagarna inom justitieministeriets förvaltningsområde, inte heller i fråga om denna nya uppgift för dataombudsmannen.  

Myndigheter som skyddar de grundläggande fri- och rättigheterna. Medlemsstaterna ska utse myndigheter som utövar tillsyn över de grundläggande rättigheterna för förordningen inom tre månader efter förordningens ikraftträdande i enlighet med artikel 77.2. De myndigheter för de grundläggande rättigheterna som avses i förordningen agerar inom ramen för de uppgifter och befogenheter som tilldelats dem i gällande lagstiftning, och förordningen anses inte ålägga dessa myndigheter några nya tillsynsuppgifter jämfört med deras nuvarande uppgifter. Av förordningen följer inte något behov av att komplettera eller precisera dessa myndigheters befogenheter, utan de befogenheter som i artikel 77 i AI-förordningen föreskrivs för dessa myndigheter för att utöva tillsyn över de grundläggande rättigheterna är direkt tillämpliga. Eftersom befogenheterna för de myndigheter som skyddar de grundläggande fri och rättigheterna i första hand bestäms med stöd av annan lagstiftning och annan lagstiftning också bestämmer vilka myndigheter som i Finland anses vara sådana myndigheter som utövar tillsyn över de grundläggande rättigheter som avses i förordningen, har det inte ansetts nödvändigt att i den nationella lagstiftning som genomför förordningen särskilt utse myndigheter som skyddar de grundläggande fri- och rättigheterna.  

Till i AI-förordningen avsedda myndigheter som skyddar de grundläggande fri- och rättigheterna har vid den tidpunkt då propositionen bereds utsetts följande nationella myndigheter: dataombudsmannen, diskrimineringsombudsmannen, jämställdhetsombudsmannen, diskriminerings- och jämställdhetsnämnden, justitiekanslern, riksdagens justitieombudsman, regionförvaltningsverkens ansvarsområden för arbetarskyddet när de är arbetarskyddsmyndighet samt konsumentombudsmannen. I bakgrunden finns kommissionens tolkningsanvisningar om vilka nationella myndigheter som kan vara sådana myndigheter som skyddar de grundläggande fri- och rättigheterna som avses i förordningen. Kommissionen har ansett det som viktigt att myndigheter som skyddar de grundläggande fri- och rättigheterna bl.a. har befogenheter som hänför sig till tillsynen över eller genomförandet av skyldigheter enligt unionsrätten i samband med användningen av de AI-system med hög risk som omfattas av bilaga III till förordningen. Befogenheterna ska basera sig på den nationella lagstiftningen, och de ska härröra från unionslagstiftningen. Människorättscentret som verkar i samband med riksdagens justitieombudsmans kansli har inte utsetts till myndighet som skyddar de grundläggande fri- och rättigheterna, eftersom centrets uppgifter hänför sig till att främja de grundläggande fri- och rättigheterna och de mänskliga rättigheterna och att följa tillgodoseendet av dem, och centret har inga uppgifter i anslutning till tillsynen över eller fullgörandet av skyldigheter enligt unionsrätten.  

Förteckningen över myndigheter som skyddar de grundläggande fri- och rättigheterna finns tillgänglig på arbets- och näringsministeriets webbplats. Enligt AI-förordningen ska förteckningen över myndigheter som skyddar de grundläggande fri- och rättigheterna hållas uppdaterad. 

Transparensskyldigheterna och tillsynen över dem. Tillsynen över transparensskyldigheterna enligt artikel 50 i AI-förordningen förutsätter ny reglering i den lag som föreslås i propositionen. I propositionen föreslås bestämmelser som den nationella myndighet som ska ansvara för tillsynen över transparensskyldigheterna enligt artikel 50 i AI-förordningen. Förslaget följer av kravet i artikel 70.1 i AI-förordningen att utse eller inrätta marknadskontrollmyndigheter för förordningens syften. Transparensskyldigheterna kan utöver AI-system med hög risk avse även informationssystem beträffande vilkas överensstämmelse det inte finns separat reglering och vilkas överensstämmelse eller transparens inte övervakas av någon myndighet med stöd av den gällande lagstiftningen. Detta bör beaktas när tillsynen ordnas. I artikel 99.4 g i AI-förordningen förutsätts det att brott mot transparensskyldigheterna enligt artikel 50 ska medföra administrativa påföljdsavgifter, vilket kräver att en behörig myndighet utses. Det vore ändamålsenligt att varje marknadskontrollmyndighet utövar tillsyn inom sin sektor över att transparensskyldigheterna iakttas i fråga om de AI-system med hög risk för vilkas marknadskontroll den ansvarar. Transparensskyldigheten enligt artikel 50.1 i AI-förordningen kan gälla särskilt digitala tjänster. Bestämmelser om krav på digitala tjänster ingår också i lagen om tillhandahållande av digitala tjänster (306/2019), nedan lagen om digitala tjänster , och för tillsynen enligt den svarar Transport- och kommunikationsverket. Sålunda är det motiverat att i denna proposition ge Transport- och kommunikationsverket i uppgift att övervaka efterlevnaden av transparensskyldigheterna i fråga om de AI-system som inte omfattas av de i 3 § avsedda marknadskontrollmyndigheternas tillsyn över AI-system med hög risk.  

När det gäller transparensskyldigheterna har skyldigheten enligt artikel 50.1 i AI-förordningen ansetts likna skyldigheten enligt 6 a § i lagen om digitala tjänster, men till dessa delar har inget direkt behov av att ändra den nationella regleringen identifierats, eftersom den nationella skyldigheten inte står i konflikt med AI-förordningens skyldighet och eftersom i bakgrunden finns konstitutionella behov, såsom att säkerställa att principerna om god förvaltning genomförs (RP 145/2022 rd, s. 133–134). 

3.10.4  Påföljdssystem

I artikel 99.1 i AI-förordningen åläggs medlemsstaterna att i enlighet med de villkor som fastställs i förordningen fastställa bestämmelser om sanktioner och andra efterlevnadsåtgärder. Denna bestämmelse förutsätter nationell lagstiftning om påföljder enligt AI-förordningen. Enligt artikel 99.10 i AI-förordningen ska utövandet av befogenheter enligt den artikeln omfattas av lämpliga rättssäkerhetsgarantier i enlighet med unionsrätten och nationell rätt, inbegripet effektiva rättsmedel och rättssäkerhet.  

De myndigheter som ansvarar för tillsynen enligt AI-förordningen ska ha befogenheter att utföra tillsynsåtgärder enligt marknadskontrollagen. Inom vissa sektorer, såsom arbetarskydd eller medicintekniska produkter, föreskrivs det noggrannare om tillståndsåtgärderna, varvid myndigheterna i första hand utövar sina befogenheter enligt sektorlagstiftningen. På grund av de gällande bestämmelserna om befogenheter behöver det inte föreskrivas om dem i lagen om tillsyn över vissa system för artificiell intelligens. Lagen bör dock innehålla kompletterande bestämmelser om påförandet av påföljdsavgifter. 

Påföljdsavgifter. I artikel 99.3–5 i AI-förordningen föreskrivs att bristande efterlevnad av olika skyldigheter enligt AI-förordningen ska medföra en påföljdsavgift vars maximibelopp fastställs i den aktuella bestämmelsen. Bristande efterlevnad av förbud med koppling till AI ska medföra administrativa påföljdsavgifter (i förordningstexten ”sanktionsavgifter”) på upp till 35 000 000 euro eller, om överträdelsen begås av ett företag, upp till 7 % av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket som är högst. Påföljdsavgiften för bristande efterlevnad av skyldigheter med koppling till AI-system med hög risk ska vara upp till 15 000 000 euro eller 3 %. Tillhandahållande av oriktig, ofullständig eller vilseledande information ska kunna medföra påföljdsavgifter på upp till 7 500 000 euro eller 1 %.  

För närvarande föreskrivs det i den nationella lagstiftningen, i första hand till följd av EU-lagstiftning, om olika administrativa påföljdsavgifter och hur de bestäms. Inom områden med anknytning eller koppling till AI-förordningen finns sådana bestämmelser i bl.a. dataskyddslagen, lagen om tillsyn över förmedlingstjänster på nätet samt lagen tjänster inom elektronisk kommunikation (42 kap.).  

För genomförande av legalitetsprincipen ska det enligt förslaget förskrivs om de skyldigheter enligt AI-förordningen beträffande vilka det är möjligt att påföra administrativa påföljdsavgifter samt om myndigheternas befogenhet att bestämma påföljdsavgifter. I artikel 99.3–6 i AI-förordningen föreskrivs det om påföljdsavgifternas maximibelopp på det sätt som beskrivs ovan. Dessutom utfärdas det kompletterande bestämmelser om olika rättsskyddsgarantier, såsom skydd mot självinkriminering och ändringssökande samt om situationer där påföljdsavgift inte ska påföras. Artikel 99.7 i AI-förordningen, där det föreskrivs om de omständigheter som ska beaktas när påföljdsavgifter bestäms, är tillräcklig tillämplig och förutsätter inte kompletterande bestämmelser. 

Påföljdsavgiftsnämnden . Eftersom påföljdsavgifterna enligt AI-förordningen är av straffkaraktär och deras potentiella maximibelopp är högt, bör det föreskrivas om ett kollegialt organ som har tillräcklig sakkunskap och lämplig ställning att bestämma sådana påföljder. Grundlagsutskottet har förutsatt att ett kollegialt organ används när anmärkningsvärt höga påföljdsavgifter ska bestämmas. Till följd av principerna i grundlagen föreskrivs det om grunderna för detta organ och om dess beslutsförfaranden. För närvarande finns det inga kollegiala påföljdsorgan för AI-system eller marknadskontroll överlag, och i vilket fall som helst inget påföljdsorgan som besitter tillräckligt omfattande sakkunskap för tillsynen över AI-system. De kollegiala påföljdsorgan som finns för närvarande behandlas mer ingående ovan. Genom att de påföljdsavgifter som överskrider ett visst gränsvärde koncentreras till detta organ säkerställs också att praxisen i fråga om påföljdsavgifter blir enhetlig, eftersom flera olika myndigheter deltar i tillsynssystemet.  

3.10.5  Visselblåsarlagen

Det nationella genomförandet av AI-förordningen bedöms inte orsaka några ändringar i visselblåsarlagar. Med stöd av 2 § 1 mom. 4 punkten tillämpas lagen på produktsäkerhet och produktöverensstämmelse. Enligt motiveringen till lagen är bestämmelserna om produktsäkerhet och överensstämmelse med kraven till största delen baserade på Europeiska unionens lagstiftning och kompletterande nationell lagstiftning. Kraven på olika produkter har harmoniserats huvudsakligen genom EU:s produktdirektiv och dessutom genom EU:s förordningar och beslut (RP 147/2022 rd, s. 25). I bilagan till regeringens proposition om lagen finns en förteckning med exempel på författningar som hör till tillämpningsområdet för lagens 2 § 1 mom. När det gäller produktsäkerhet och produktöverensstämmelse omfattar tillämpningsområdet t.ex. marknadskontrollagen samt sektorspecifika lagar om flera olika produkter. 

Enligt artikel 74.1 i AI-förordningen ska marknadskontrollförordningen tillämpas på AI-system som omfattas av AI-förordningen. Den nationella marknadskontrollagen kompletterar och preciserar marknadskontrollförordningen. I propositionen fogas lagen om tillsyn över vissa system för artificiell intelligens till marknadskontrollagens tillämpningsområde. På dessa grunder anses AI-förordningen och den föreslagna lagen om tillsyn över vissa system för artificiell intelligens höra till tillämpningsområdet för den gällande visselblåsarlagen. 

3.10.6  Utnyttjande av det nationella handlingsutrymmet i olika frågor

Biometrisk fjärridentifiering . Enligt artikel 5.5 får en medlemsstat besluta att föreskriva en möjlighet att helt eller delvis tillåta användning av system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål inom vissa gränser och på vissa villkor som anges i artikeln. Nationell reglering i anslutning till detta kommer att utredas och granskas separat, och därför tas det inte ställning till saken i denna proposition.  

Regulatoriska sandlådor. I artikel 57 i förordningen åläggs medlemsstaterna att inrätta minst en regulatorisk sandlåda. I samband med beredningen av denna proposition har det ansetts ändamålsenligt att avskilja beredningen av den sakhelheten från denna proposition. Avsikten är att bereda en separat regeringsproposition om saken, och därför föreskrivs det inte om saken i den lag om tillsyn över vissa system för artificiell intelligens som föreslås i denna proposition.  

Nationellt register över AI-system med hög risk för kritisk infrastruktur. I denna proposition är avsikten inte att föreskriva om genomförandet av den nationella registreringsskyldighet som avses i artikel 49.5 i förordningen. Eftersom den aktuella skyldigheten träder i kraft först i augusti 2026, kommer det att föreskrivas om saken i en separat regeringsproposition.  

Arbetstagarnas ställning . Artikel 2.11 i förordningen tillåter medlemsstaterna att införa lagar och andra författningar som är förmånligare för arbetstagare när det gäller att skydda deras rättigheter i fråga om arbetsgivares användning av AI-system, eller att uppmuntra eller tillåta tillämpning av kollektivavtal som är förmånligare för arbetstagare. Under beredningen har det inte identifierats några omständigheter som säger att det borde föreslås ändringar i arbetslagstiftningen på grund av förordningen. Skyddet och rättsskyddet för arbetstagare anses ligga på en hög nivå nationellt och skyldigheterna enligt förordningen tillför kompletterande bestämmelser som inte har funnits från förr. Därför anses förordningen utvidga det skydd som arbetslagstiftningen erbjuder och förbättra tillgodoseendet av arbetstagarnas rättsskydd.  

Mänsklig kontroll. Enligt artikel 14.5 i förordningen är kravet på en separat kontroll av minst två fysiska personer inte tillämpligt på AI-system med hög risk som används inom områdena brottsbekämpning, migration, gränskontroll eller asyl, om en tillämpning av detta krav enligt unionsrätten eller nationell rätt skulle betraktas som oproportionell. Eftersom det inte finns någon nationell lagstiftning om tillsyn över AI-system från tidigare, och det inte heller har identifierats några AI-system med hög risk som används för ovannämnda ändamål inom de aktuella områdena, anses det inte nödvändigt att i propositionen ta ställning till det nationella handlingsutrymme som hänför sig till tillämpningen av kravet på mänsklig kontroll.  

Leverantörens och ombudets skyldighet att bevara dokumentation. I den föreslagna lagen om tillsyn över vissa system för artificiell intelligens bör det föreskrivas om skyldigheten att bevara dokumentation enligt artikel 18.2 i förordningen, eftersom förordningen förutsätter att medlemsstaterna fastställer på vilka villkor den dokumentation som avses i punkt 1 i artikeln ska hållas tillgänglig för myndigheterna under 10 år i de fall då en leverantör går i konkurs eller upphör med sin verksamhet.  

Språkkrav. Förordningen tillåter handlingsutrymme också i fråga om det språk på vilket information och dokumentation tillställs myndigheterna. De nationella myndigheterna ska förses med information och dokumentation på ett språk som är lätt att förstå för myndigheten. Språklagen (423/2003) är en allmän lag där det föreskrivs om bl.a. handläggningsspråket hos myndigheterna (3 kap.) och språket i expeditioner och andra handlingar (4 kap.). Enligt 4 kap. 22 § i språklagen kan expeditioner eller andra handlingar som finska myndigheter utfärdar till utlandet eller till utlänningar eller för att användas utomlands ges på andra språk än finska och svenska, om inte något annat föreskrivs särskilt. I denna proposition anses det inte nödvändigt att utfärda specialbestämmelser om språket i information och dokumentation som ska lämnas till myndigheterna.  

4.1.1  Inledning

I denna proposition föreslås det att det stiftas en ny lag om tillsyn över av vissa system för artificiell intelligens. Den föreslagna lagen ska tillämpas som ett komplement till AI-förordningen. 

Lagförslaget består av fem helheter, som för tydlighetens skull är indelade i separata kapitel. I 1 kap. ingår allmänna bestämmelser, som omfattar tillämpningsområde och förhållande till annan lagstiftning. Utanför den föreslagna lagens tillämpningsområde ställs riksdagsarbetet och riksdagens kansli samt de högsta laglighetsövervakarna. Riksdagens övriga ämbetsverk omfattas av lagens tillämpningsområde under vissa förutsättningar. I 2 kap. ingår bestämmelser om behöriga nationella myndigheter, vilkas uppgift är utöva tillsyn över AI-system med hög risk som avses i avsnitt A i bilaga I samt i bilaga III till förordningen, tillsyn över förbjudna AI-användningsområden enligt artikel 5 i förordningen, samt tillsyn över de transparensskyldigheter enligt artikel 50 som gäller vissa AI-system. Dessutom föreskrivs det i 2 kap. om den marknadskontrollmyndighet som är gemensam kontaktpunkt samt om dess befogenheter och uppgifter. I 3 kap. föreskrivs det om anmälande myndigheter och anmälda organ. I 4 kap. i den föreslagna lagen ingår bestämmelser om påföljder för brott mot förordningen, inbegripet administrativa påföljdsavgifter, samt om påföljdsavgiftsnämnden. I 5 kap. ingår särskilda bestämmelser, inklusive om ändringssökande. 

4.1.2  Behöriga marknadskontrollmyndigheter

Marknadskontrollmyndigheter enligt avsnitt A i bilaga I till förordningen. Marknadskontrollmyndigheter som utövar tillsyn över AI-system med hög risk enligt artikel 6.1 i AI-förordningen som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I är de myndigheter som för närvarande med stöd av unionens harmoniseringslagstiftning som anges i avsnitt A i den bilagan och den nationella lagstiftning som antagits med stöd av den är marknadskontrollmyndigheter inom ramen för det nuvarande marknadskontrollsystemet.  

Säkerhets- och kemikalieverket föreslås vara marknadskontrollmyndighet, om ett AI-system är avsett att användas som en säkerhetskomponent i en produkt eller AI-systemet är i sig en produkt, som med stöd av de rättsakter som anges i avsnitt A punkterna 1, 4, 5, 7, 9 och 10 i bilaga I till förordningen hör till tillämpningsområdet för gasanordningslagen, lagen om tryckbärande anordningar, hissäkerhetslagen, lagen om överensstämmelse med kraven för utrustning och säkerhetssystem som är avsedda för användning i explosionsfarliga omgivningar och lagen om personlig skyddsutrustning som är avsedd att användas av konsumenter samt till tillämpningsområdet för den nationella lagstiftning som reglerar produkter enligt maskindirektivet som är avsedda att användas av konsumenterna. I fråga om AI-system med hög risk som hör till tillämpningsområdet för lagen om leksakers säkerhet, som utfärdats med stöd av unionens harmoniseringslagstiftning som anges i avsnitt A punkt 2 i bilaga I till förordningen, föreslås Säkerhets- och kemikalieverket vara marknadskontrollmyndighet tillsammans med Tullen i enlighet med behörighetsfördelningen i 56 § i lagen om leksakers säkerhet. 

Transport- och kommunikationsverket föreslås vara marknadskontrollmyndighet, om ett AI-system är avsett att användas som en säkerhetskomponent i en produkt eller AI-systemet är i sig en produkt, som med stöd av de rättsakter som anges i avsnitt A punkterna 3 och 6 i bilaga I till förordningen hör till tillämpningsområdet för lagen om säkerhet och utsläppskrav för fritidsbåtar eller för radioutrustning enligt lagen om tjänster inom elektronisk kommunikation. 

Arbetarskyddsmyndigheten, dvs. social- och hälsovårdsministeriet och regionförvaltningsverkens ansvarsområden för arbetarskyddet, föreslås vara marknadskontrollmyndighet, om ett AI-system är avsett att användas som en säkerhetskomponent i en produkt eller AI-systemet är i sig en produkt som omfattas av den rättsakt som anges i avsnitt A punkt 8 i bilaga I till förordningen när det gäller linebaneanläggningar som är avsedda för persontransport, eller som med stöd av de rättsakter som anges i avsnitt A punkterna 1 och 9 i bilaga I hör till tillämpningsområdet för nationell lagstiftning som reglerar personlig skyddsutrustning och produkter enligt maskindirektivet inom arbetarskyddet. 

Säkerhets- och utvecklingscentret för läkemedelsområdet föreslås vara marknadskontrollmyndighet, om ett AI-system är avsett att användas som en säkerhetskomponent i en produkt eller AI-systemet är i sig en produkt som med stöd av de rättsakter som anges i avsnitt A punkterna 11 och 12 i bilaga I till förordningen hör till tillämpningsområdet för nationell lagstiftning som reglerar medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik. 

Marknadskontrollmyndigheter som utövar tillsyn över AI-system med hög risk enligt bilaga III till förordningen. Marknadskontrollen av AI-system med hög risk enligt bilaga III föreslås vara fördelad på sju olika myndigheter.  

Dataombudsmannen föreslås utöva tillsyn över AI-system med hög risk som är avsedda att användas inom området för biometri enligt punkt 1 i bilaga III, inom området för småbarnspedagogik och utbildning enligt punkt 3, inom området för anställning, arbetsledning och tillgång till egenföretagande enligt punkt 4, inom området för brottsbekämpning enligt punkt 6, inom området för migration, asyl och gränskontrollförvaltning enligt punkt 7 samt inom området för rättskipning och demokratiska processer enligt punkt 8 i bilaga III till AI-förordningen. Dessutom föreslås dataombudsmannen utöva tillsyn över användningsfall enligt punkt 5 b i den bilagan, om AI-systemet är avsett att användas för att utvärdera fysiska personers kreditvärdighet eller fastställa deras kreditbetyg, med undantag av AI-system som används i syfte att upptäcka ekonomiska bedrägerier och med undantag av användningsfall som omfattas av Finansinspektionens tillsyn. 

Transport- och kommunikationsverket föreslås utöva tillsyn över AI-system med hög risk som i enlighet med punkt 2 i bilaga III till förordningen är avsedda att användas som säkerhetskomponenter inom kritisk infrastruktur i vägtrafik eller kritisk digital infrastruktur. Energimyndigheten föreslås utöva tillsyn för AI-system med hög risk enligt artikel 6.2 i förordningen som anges i bilaga III, om de är avsedda att användas som säkerhetskomponenter inom kritisk infrastruktur i samband med förvaltning och drift vid värme- eller elförsörjning, eller om de är avsedda att användas i samband med förvaltning och drift vid gasförsörjning när det gäller distributionsnätinnehavare och överföringsnätinnehavare. Säkerhets- och kemikalieverket föreslås utöva tillsyn över AI-system med hög risk enligt artikel 6.2 i förordningen som anges i bilaga III, om de är avsedda att användas som säkerhetskomponenter inom förvaltning och drift inom energisektorn i undersektorn för gasförsörjning, med undantag av de AI-system som står under tillsyn av Energimyndigheten, eller om de är avsedda att användas som säkerhetskomponenter inom förvaltning och drift av vattentjänster.  

Finansinspektionen föreslås utöva tillsyn över AI-system med hög risk enligt punkt 5 c i bilaga III till förordningen när de är avsedda att användas för riskbedömning och prissättning i förhållande till fysiska personer när det gäller livförsäkring och sjukförsäkring. Dessutom föreslås Finansinspektionen utöva tillsyn över AI-system enligt punkt 5 a i den bilagan, om de är avsedda att användas av offentliga myndigheter eller för offentliga myndigheters räkning för att utvärdera fysiska personers rätt till väsentliga förmåner och tjänster i form av offentligt stöd, inbegripet hälso- och sjukvårdstjänster, samt för att bevilja, minska, upphäva eller återkalla sådana förmåner och tjänster, i fråga om arbetslöshets- eller försäkringskassor, skadeförsäkringsbolag eller pensionsanstalter. Dessutom föreslås Finansinspektionen utöva tillsyn över AI-system med hög risk, om de är avsedda att användas i användningsfall som anges i punkt 5 b i den bilagan och det är fråga om ett sådant tillsynsobjekt som avses i 4 § i lagen om Finansinspektionen (878/2008), en sådan annan finansmarknadsaktör som avses i 5 § i den lagen eller ett sådant utländskt tillsynsobjekt som avses i 6 § 7 punkten i den lagen, som tar AI-systemet i bruk. 

Tillstånds- och tillsynsverket för social- och hälsovården föreslås utöva tillsyn över AI-system med hög risk enligt punkt 5 a i bilaga III till förordningen, om de är avsedda att användas av offentliga myndigheter eller för offentliga myndigheters räkning för att utvärdera fysiska personers rätt till väsentliga förmåner och tjänster i form av offentligt stöd, inbegripet hälso- och sjukvårdstjänster, samt för att bevilja, minska, upphäva eller återkalla sådana förmåner och tjänster, med undantag för de AI-system med hög risk som det föreskrivs att ska stå under Finansinspektionens tillsyn. Dessutom föreslås verket utöva tillsyn över AI-system med hög risk enligt punkt 5 d i bilaga III, med undantag av de användningsfall enligt punkt 5 d i bilaga III till AI-förordningen som står under Regionförvaltningsverket i Sydvästra Finlands tillsyn. 

Regionförvaltningsverket i Sydvästra Finland föreslås utöva tillsyn över AI-system med hög risk, om de är avsedda att användas i användningsfall som anges i punkt 5 d i bilaga III till AI-förordningen i nödcentralstjänster, räddningsverksamhet eller polisens verksamhet.  

Tillsyn över förbjudna AI-användningsområden. Dataombudsmannen föreslås utöva tillsyn över efterlevnaden av förbjudna AI-användningsområden enligt artikel 5 i AI-förordningen. Flera av dessa förbjudna AI-användningsområden har nära koppling till behandlingen av personuppgifter, och dataombudsmannen utövar tillsyn över korrekt behandling av personuppgifter även i fråga om AI-system med stöd av dataskyddslagstiftningen. Av denna orsak föreslås det att tillsynsuppgifter som gäller dessa förbjudna användningsområden anvisas dataombudsmannen.  

Tillsyn över transparensskyldigheterna. Enligt den föreslagna lagen ska Transport- och kommunikationsverket övervaka fullgörandet av transparensskyldigheterna enligt artikel 50. Till den del som transparensskyldigheten gäller AI-system med hög risk ska fullgörandet av transparensskyldigheterna dock övervakas av den behöriga marknadskontrollmyndigheten för sektorn i fråga.  

Gemensam kontaktpunkt . Enligt den föreslagna lagen är Transport- och kommunikationsverket den gemensamma kontaktpunkt som avses i artikel 70.2 i AI-förordningen. Den gemensamma kontaktpunkten har till uppgift att sköta myndighetssamarbetet i anknytning till genomförandet av AI-förordningen mellan de behöriga myndigheterna, de myndigheter som skyddar de grundläggande fri- och rättigheterna och det i 4 a § i marknadskontrollagen avsedda centrala samordningskontoret för marknadskontroll, att samordna myndighetssamarbetet och att hålla kontakten med Europeiska unionens samarbetsorgan och de myndigheter som med stöd av förordningen är behöriga myndigheter i andra medlemsstater i Europeiska unionen. Dessutom erbjuder den det expertstöd som gäller AI-system till de myndigheter som är behöriga myndigheter enligt den föreslagna lagen och myndigheter som skyddar de grundläggande fri- och rättigheterna. Den gemensamma kontaktpunkten svarar också tillsammans med övriga marknadskontrollmyndigheter för de årliga rapporteringsskyldigheterna till kommissionen som avses i artikel 99.11 i förordningen och som gäller påförda administrativa påföljdsavgifter och eventuella relaterade rättstvister eller rättsliga förfaranden. Genom den föreslagna lagen föreskrivs det också om den gemensamma kontaktpunktens rätt att få och lämna ut information som för att den ska kunna sköta sina uppgifter.  

4.1.3  Anmälande myndigheter och anmälda organ

Enligt den föreslagna lagen utses till anmälande myndigheter enligt artikel 28.1 i AI-förordningen de myndigheter som för närvarande är anmälande myndigheterna i fråga om produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I till AI-förordningen. Sålunda föreslås att arbets- och näringsministeriet, Säkerhets- och utvecklingscentret för läkemedelsområdet och social- och hälsovårdsministeriet ska vara anmälande myndigheter till den del som ett organ ansöker om att bli utsett till anmält organ för bedömning av sådana AI-system som är säkerhetskomponenter i produkter som omfattas av de rättsakter som anges i avsnitt A i bilaga I till förordningen eller AI-systemen är i sig sådana produkter. I den föreslagna lagen föreskrivs dessutom som en ny uppgift för arbets- och näringsministeriet att vara anmälande myndighet när ett organ för bedömning av överensstämmelse ansöker om att bli utsett till anmält organ för bedömning av sådana system för biometri som avses i punkt 1 i bilaga III till förordningen. 

I den föreslagna lagen föreskrivs det om offentliga förvaltningsuppgifter och tjänsteansvar för anmälda organ och underentreprenörer som de anlitar eller andra aktörer. Dataombudsmannen föreslås vara anmält organ, om brottsbekämpande myndigheter, migrationsmyndigheter eller asylmyndigheter har för avsikt att ta i bruk sådana AI-system med hög risk som avses i punkt 1 i bilaga III till AI-förordningen. I den föreslagna lagen ingår dessutom nationella bestämmelser om vissa andra anmälda organ som har ansetts nödvändiga för att genomföra AI-förordningen. 

4.1.4  Administrativa påföljdsavgifter och påföljdsavgiftsnämnden

Enligt artikel 99.1 i AI-förordningen ska medlemsstaterna i enlighet med de villkor som fastställs i förordningen fastställa bestämmelser om påföljder och andra efterlevnadsåtgärder, som säkerställer att förordningen tillämpas effektivt och som är proportionella och avskräckande. Eftersom AI-förordningen är en del av EU:s marknadskontrollagstiftning, ska de nationella myndigheter som ansvarar för tillsynen enligt AI-förordningen ha befogenheter enligt 3 kap. i marknadskontrollagen samt sektorspecifika marknadskontrollbestämmelser att ingripa i AI-system som strider mot kraven i förordningen eller mot förfaranden som hänför sig till dem. Myndigheten ska ha möjlighet att förena sin förelägganden och åtgärder med vite. 

Artikel 99.3–5 i AI-förordningen förutsätter att en administrativa påföljdsavgift ska kunna påföras för överträdelse av vissa skyldigheter enligt förordningen. Eftersom en del av dessa skyldigheter är öppet eller kvalitativt formulerade, föreslås i den nationella lagstiftningen för att säkerställa rättssäkerheten preciserade bestämmelser om skyldigheter beträffande vilka det ska vara möjligt att påföra en påföljdsavgift för överträdelse eller försummelse. Dessutom föreskrivs det om situationer där påföljdsavgift inte påförs. Beträffande påföljdsavgiftens maximibelopp och den samlade bedömning som görs när påföljdsavgiften påförs hänvisas informativt till AI-förordningens bestämmelser om dessa omständigheter. 

Eftersom påföljdsavgifterna kan vara av avsevärd storlek, föreskrivs det också om en kollegial påföljdsavgiftsnämnd för tillsynen över system för artificiell intelligens, som i egenskap av en myndighet med uppdraget som bisyssla på framställning av den marknadskontrollmyndighet som annars är behörig i ärendet ska påföra påföljdsavgifter som överstiger 100 000 euro. Påföljdsavgiftsnämnden kan också enligt egen bedömning påföra en lägre påföljdsavgift än vad som föreslagits. De marknadskontrollmyndigheter som övervakar efterlevnaden av AI-förordningen utser ledamöterna i påföljdsavgiftsnämnden. Påföljdsavgiftsnämnden ska dock vara självständig och oberoende i sin verksamhet. 

4.1.5  Övriga lagstiftningsändringar

I propositionen föreslås ändringar i den gällande nationella lagstiftningen till följd av genomförandet av AI-förordningen. Det föreslås att den föreslagna lagen om tillsyn över vissa system för artificiell intelligens börjar omfattas av marknadskontrollagens tillämpningsområde. I marknadskontrollagen föreslås dessutom en informativ hänvisning som säger att bestämmelser om marknadskontrollmyndigheter för AI-system finns i lagen om tillsyn över vissa system för artificiell intelligens. Tillämpningsområdet för lagen om verkställighet av böter (672/2002) utökas med påföljdsavgifter enligt lagen om tillsyn över vissa system för artificiell intelligens.  

I denna proposition föreslås det att lagen om Finansinspektionen ändras så att till Finansinspektionens direktions uppgifter ska höra att besluta om påföljder enligt lagen om tillsyn över vissa system för artificiell intelligens med vissa undantag. Det föreslås höra till Finansinspektionens direktörs uppgifter att göra framställning om påförande av påföljdsavgift till påföljdsavgiftsnämnden för tillsynen över system för artificiell intelligens. Dessutom föreslås det att lagen utökas med hänvisningar till lagen om tillsyn över vissa system för artificiell intelligens när det gäller bl.a. bestämmande om tillsynsåtgärder, föreläggande av vite eller hot om tvångsutförande och påförande av påföljdsavgifter samt Finansinspektionens marknadskontrolluppgifter. I lagen föreskrivs också om nya rättigheter för Finansinspektionen att lämna ut information till den gemensamma kontaktpunkten och till påföljdsavgiftsnämnden för tillsynen över system för artificiell intelligens. 

Det föreslås att lagen om Energimyndigheten ändras så att Energimyndighetens uppgifter utökas med uppgifter som myndigheten har enligt lagen om tillsyn över vissa system för artificiell intelligens. 

4.2.1  Kommissionens bedömning av AI-förordningens allmänna konsekvenser

Kommissionen har låtit göra en konsekvensanalys av det ursprungliga förslaget till AI-förordning, som offentliggjordes den 21 april 2021 (SWD (2021) 84 final). Det bör dock påpekas att den AI-förordning som slutligen antogs i EU avviker från det ursprungliga förordningsförslaget som var föremål för konsekvensanalysen. Enligt kommissionens konsekvensanalys stärker förordningen rättssäkerheten, människors förtroende för AI och AI-systems gränsöverskridande rörlighet samt hindrar medlemsstaterna från att vidta ensidiga åtgärder som fragmenterar den inre marknaden. Kommissionen har betonat att förordningsförslaget ger upphov till positiva ekonomiska effekter särskilt genom att den inre marknaden börjar fungera bättre.  

Förordningens mål är att stärka Europas konkurrenskraft och industriella bas. I enlighet med förordningens mål kommer EU att fortsätta att utveckla ett snabbt växande AI-ekosystem av innovativa tjänster och produkter som integrerar AI-teknik eller fristående AI-system, vilket leder till ökad digital autonomi. Förordningen syftar till att säkerställa en hög skyddsnivå för de grundläggande rättigheterna och syftar till att hantera olika riskkällor genom en tydligt definierad riskbaserad metod.  

Enligt kommissionen är målet att hålla efterlevnadskostnaderna så låga som möjligt och därigenom undvika att spridningen i onödan blir långsammare på grund av högre priser och efterlevnadskostnader. Strävan med förordningen är att öka tydligheten och förenkla efterlevnaden av de nya reglerna genom att säkerställa full överensstämmelse med befintlig sektorsspecifik EU-lagstiftning.  

För att hantera eventuella nackdelar för små och medelstora företag innehåller förordningen flera bestämmelser för att stödja deras uppfyllande av kraven och minska deras kostnader, inbegripet inrättandet av regulatoriska sandlådor och skyldigheten att beakta små och medelstora företags intressen.  

Enligt kommissionen införs genom förordningen vissa begränsningar av näringsfriheten och friheten för konsten och vetenskapen för att säkerställa överensstämmelse med tvingande hänsyn till allmänintresset, såsom hälsa, säkerhet, konsumentskydd och skydd av andra grundläggande rättigheter. Enligt kommissionen är dessa begränsningar dock proportionerliga och begränsade till vad som är absolut nödvändigt för att förebygga och mildra allvarliga säkerhetsrisker och sannolika kränkningar av de grundläggande rättigheterna.  

De ökade transparenskraven kommer inte heller att påverka rätten till skydd av immateriell egendom på ett oproportionerligt sätt, eftersom de kommer att begränsas till endast det minimum av information som krävs för att enskilda personer ska kunna utöva sin rätt till ett effektivt rättsmedel och till nödvändig transparens gentemot tillsyns- och kontrollmyndigheterna, i enlighet med deras mandat.  

Kommissionens bedömning är att företag eller offentliga myndigheter som utvecklar eller använder AI-tillämpningar som utgör en hög risk för medborgarnas säkerhet eller grundläggande rättigheter måste uppfylla särskilda krav och skyldigheter. Uppfyllandet av dessa krav skulle medföra kostnader på cirka 6 000–7 000 euro fram till 2025 för tillhandahållandet av ett genomsnittligt AI-system med hög risk som kostar cirka 170 000 euro. Kostnader för att säkerställa mänsklig kontroll av AI-system skulle beroende på användningsfallet vara cirka 5 000–8 000 euro per år. Kontrollkostnaderna kan uppgå till ytterligare 3 000–7 500 euro för leverantörer av AI som utgör hög risk.  

4.2.2  Konsekvenser för myndigheterna

I och med förordningen kommer olika myndigheter att få nya tillsynsuppgifter. Under beredningen har de berörda myndigheterna ombetts att uppskatta för vad och i vilken mån de tillsynsuppgifter som följer av förordningen anses kräva resurser. De sista uppskattningar erhölls i december 2024. Man har begärt att resursuppskattningen ska baseras på en bedömning av de konkreta AI-relaterade tillsynsuppgifterna under de följande fem åren med beaktande av eventuella synergier med nuvarande uppgifter.  

Myndigheternas uppgifter baserar sig på de senaste tillgängliga uppskattningarna, med de är fortfarande förenade med betydande osäkerheter, bl.a. på grund av den tidiga fasen i tillämpningen och genomförandet av förordningen. Det har knappt funnits några uppskattningar av hur många AI-system som omfattas av förordningens tillämpningsområde, eller mer exakt AI-system med hög risk, som finns på marknaden eller håller på att utvecklas. Det har inte heller till alla delar varit möjligt att uppskatta särskilt engångskostnaderna. Trots att uppskattningarna inte heller är helt jämförbara sinsemellan, har strävan under den fortsatta beredningen varit att förenhetliga dem för att få en bättre helhetsbild. Myndigheterna bedömer sina framtida uppgifter från olika utgångspunkter, och de noggrannare verksamhetsprocesserna håller först nu på att utformas, eftersom det inte finns någon tidigare lagstiftning om tillsyn över AI-system. Det bör också påpekas att skyldigheterna visavi de AI-system som ska övervakas börjar tillämpas vid olika tidpunkter, och därför är de uppskattningar som presenteras här indelade i två delar: genomförande och ändring, som beskrivs som engångskostnader, samt årliga kostnader i form av återkommande poster när verksamheten är i full gång. I uppskattningarna ingår inte resursbehov till följd av regulatoriska sandlådor. 

Det nationella genomförandet av AI-förordningen har konstaterats kräva resurser för att utöka antalet årsverken och utveckla kompetensen med tanke på tillsynen samt för att utveckla och underhålla informationssystem samt register. Myndigheternas uppskattningar av resursbehoven är sammanlagt 44,5 årsverken och cirka 825 000 euro för andra kostnader, dvs. sammanlagt cirka 4,8 miljoner euro per år när verksamheten är i full gång. I den fas då förmågan byggs upp uppskattas engångskostnaden till 1,5 årsverken och 1,76 miljoner euro, dvs. sammanlagt cirka 1,9 miljoner euro. Resursbehoven är avsevärt större än kommissionens uppskattningar av konsekvenserna för medlemsstaterna. I kommissionens konsekvensanalys från 2021 har behovet av tillsynsresurser uppskattats till 1–25 årsverken per medlemsstat. Detta kan jämföras med behovet av resurser för tillsynen över den allmänna dataskyddsförordningen, som är 30–250 årsverken per medlemsstat. AI-förordningens slutliga utformning har dock ändrats något jämfört med den ursprungliga, t.ex. i fråga om leverantörernas skyldigheter, klassificeringen av AI-system med hög risk samt AI-modeller för allmänna ändamål, vilkas tillsyn inte omfattas av medlemsstaternas behörighet.  

Myndigheternas skyldighet att upprätta beredskap för marknadskontroll förutsätter oberoende av antalet fall resurser för de marknadskontrollmyndigheter för vilka marknadskontrollrollen är ny. De nationella tillsynsmyndigheter som föreslås i fråga om avsnitt A i bilaga I till förordningen är alla redan nu marknadskontrollmyndigheter. I fråga om bilaga III föreslås åter att tillsynsansvaret i huvudsak ska åläggas dataombudsmannen, som inte är marknadskontrollmyndighet för närvarande. En del av uppgifterna för dataombudsmannen följer direkt av förordningen. Gemensamt för alla myndigheter är emellertid att tillsynsuppgifterna med fokus på AI är ett nytt ansvarsområde. Dessutom är det skäl att beakta att myndigheternas verksamhet inte är begränsad till enbart tillsyn, utan en effektiv tillämpning av förordningen förutsätter bl.a. rådgivning och intressentgruppssamarbete, där det behövs AI-kompetens. Upprättandet av beredskap förutsätter resurser av engångsnatur för att genomföra ändringen, t.ex. i anslutning till informationssystemutveckling eller personalutbildning. Behovet av AI-kunnighet är avsevärt, och därför är den gemensamma kontaktpunktens expertroll central för att dämpa trycket på att allokera resurser till djupgående AI-kunnighet hos olika myndigheter. Dessutom är det bra att konstatera att om myndigheterna anvisas tillräckliga resurser för effektiv rådgivning och handledning i initialfasen kan det minska behovet av marknadskontrollåtgärder i efterhand. Den nuvarande utmanande situationen när det gäller myndigheternas resurser skapar dock inte tillräckliga förutsättningar för proaktiv verksamhet. 

Dataombudsmannens byrå. I propositionen föreslås dataombudsmannen få tillsynsuppgifter i anslutning till marknadskontrollen av AI-system. Dataombudsmannen föreslås också vara anmält organ för vissa AI-system med hög risk. Dataombudsmannens byrå har på grund av byråns nuvarande uppgifter ansett sig besitta kompetens och förståelse i fråga om AI-system. Dataombudsmannens byrå övervakar redan i nuläget behandlingen av personuppgifter i samtliga AI-system. Dataombudsmannens byrå har enligt egen bedömning erfarenhet av tväradministrativt samarbete med andra myndigheter, och sådant har bedrivits inte bara i form av sedvanligt intressentgruppssamarbete utan också genom olika utlåtandeförfaranden. Enligt dataombudsmannens bedömning kommer dataombudsmannen också att samarbeta med andra marknadskontrollmyndigheter och myndigheter som skyddar de grundläggande fri- och rättigheterna när behandlingen av personuppgifter spelar en betydande roll och det uppstår behov av att höra dataskyddsmyndigheterna. Dataombudsmannens byrå menar dock att byråns AI-kompetens måste utvecklas på grund av de nya uppgifterna. Den nya rollen som marknadskontrollmyndighet kräver att dataombudsmannens byrå tilldelas betydande resurser, så att tillsynen över förbjudna AI-användningsområden och AI-system med hög risk kan genomföras. För att säkerställa dataombudsmannens opartiskhet och oberoende måste man eventuellt separera de olika funktioner med interna arrangemang vid dataombudsmannens byrå. Dataombudsmannens byrå har uppskattat engångskostnaderna till 130 000a euro och dr årliga kostnaderna när verksamheten är i full gång till 6 årsverken och 250 000 euro. I siffrorna ingår också informationshanteringens ändringskostnader. Dataombudsmannens byrå har identifierat synerginytta i uppgifterna, särskilt när det gäller tillsynen över förbjudna användningsområden och AI-expertisen.  

Transport- och kommunikationsverket. I propositionen föreslås Transport- och kommunikationsverket få tillsynsuppgifter i anslutning till marknadskontrollen av AI-system. Transport- och kommunikationsverket föreslås också vara gemensam kontaktpunkt som säkerställer enhetlig tolknings- och tillsynspraxis i fråga om AI-förordningen, och det föreslås att påföljdsavgiftsnämnden för tillsynen över system för artificiell intelligens inrättas i anslutning till den. Transport- och kommunikationsverket besitter omfattande kompetens inom sektorerna transporter, kommunikation, dataekonomi och cybersäkerhet. Tack vare skötseln av uppgifter som omfattas av harmoniseringslagstiftningen har Transport- och kommunikationsverket beredskap i anslutning till marknadskontrollen att sköta sådan marknadskontroll enligt AI-förordningen som hänför sig till produktsektorer inom Transport- och kommunikationsverkets ansvarsområden. Även de nuvarande uppgifterna i anslutning till tillgänglighets- och webbtillgänglighetstillsynen ger beredskap att sköta motsvarande uppgifter enligt AI-förordningen. I och med AI-förordningen sträcker sig tillsynsuppgiften som gäller kritisk infrastruktur längre än till bedömning av cybersäkerheten. Transport- och kommunikationsverkets bedömer att man behöver stärka sin kompetens och förmåga när det gäller AI-teknik för att kunna sköta de uppgifter som hänför sig till AI-förordningen. Transport- och kommunikationsverket uppskattar att särskilt den gemensamma kontaktpunktens uppgifter inom marknadskontrollen och tillsynen över transparensskyldigheterna samt påföljdsavgiftsnämndens uppgifter förutsätter att resurserna stärks. Transport- och kommunikationsverket har uppskattat att den gemensamma kontaktpunkten och skötseln av tillsynsuppgifterna förutsätter att verkets permanenta resurser utökas med 14 årsverken. Dessutom har Transport- och kommunikationsverket uppskattat att testkostnaderna för marknadskontrollen av AI-system med hög risk uppgår till cirka 150 000–200 000 euro per system, vilket åren 2027–2029 utgör en kostnad på cirka 1 miljoner euro, fördelad på verkets olika sektorer. Verket har också uppskattat att kostnaderna för 2026 blir cirka 1,4 miljoner euro och för 2027 och framåt cirka 1,73 miljoner euro. I uppskattningen har man beaktat synergifördelarna på grund av de nuvarande uppgifterna.  

Transport- och kommunikationsverkets nuvarande uppgifter bl.a. inom den nationella samordningen av EU:s förordning om digitala tjänster erbjuder synergifördelar, när kompetensen utvecklas genom att man sköter liknande uppgifter.  

Säkerhets- och utvecklingscentret för läkemedelsområdet. I propositionen föreslås Säkerhets- och utvecklingscentret för läkemedelsområdet få tillsynsuppgifter i anslutning till marknadskontrollen av AI-system. Säkerhets- och utvecklingscentret för läkemedelsområdet har påpekat i sitt utlåtande att trots att AI-kompetensen i någon mån kan koncentreras till den föreslagna nationella kontaktpunkten, behövs det också djupgående AI-kompetens vid Säkerhets- och utvecklingscentret för läkemedelsområdet, där frågorna gäller särskilt patientdiagnostik och tillsyn över AI-system som är avsedda för vård av patienter. Säkerhets- och utvecklingscentret för läkemedelsområdet har uppskattat att genomförandet av AI-förordningen kräver 1 årsverke och en engångskostnad på 80 000 euro för projektet för att genomföra uppgifterna, och dessutom varje år 2,5 årsverken och 30 000 euro för att genomförande av tillsynen, handledning och rådgivning, underhåll och utveckling av informationssystem, utbildning, anlitande av utomstående experter samt uppgifter i anslutning till utseendet av anmälda organ och tillsynen över dem.  

Tillstånds- och tillsynsverket för social- och hälsovården. I propositionen föreslås Tillstånds- och tillsynsverket för social- och hälsovården få tillsynsuppgifter i anslutning till marknadskontrollen av AI-system. Tillstånds- och tillsynsverket för social- och hälsovården uppskattar att utnyttjandet av AI-system inom social- och hälsovården kommer att öka avsevärt bl.a. till följd av de ändringar som hänför sig till välfärdsområdenas kraftiga digitalisering av servicenätet och tjänsterna. Tillsynen kommer enligt Tillstånds- och tillsynsverket för social- och hälsovården att vara i huvudsak reaktiv, och fokus kommer att ligga på de ekonomiska aktörer som ansvarar för AI-systemen, men också i stor utsträckning på deras användarorganisationer. Tillstånds- och tillsynverket för social- och hälsovården har uppskattat att genomförandet av AI-förordningen kommer att kräva en engångskostnad på 250 000 euro för att genomföra ändringen samt varje år 3 årsverken och 50 000 euro för övriga kostnader när verksamheten är i full gång. Uppskattningen omfattar utöver tillsyn bl.a. registerutveckling och personalutbildning.  

Arbetarskyddsmyndigheten. I propositionen föreslås arbetarskyddsmyndigheten få tillsynsuppgifter i anslutning till marknadskontrollen av AI-system. Enligt arbetarskyddsmyndighetens har man tills vidare inte sett AI-lösningen i samband med marknadskontrollen av maskiner, produkter eller personlig skyddsutrustning som används i arbetet. Arbetarskyddsmyndigheten anser det sannolikt att användningsförsök som gäller AI-system för allmänna ändamål blir vanligare inom en nära framtid i maskiner som används i arbetet. Arbetarskyddsmyndigheten har uppskattat att man kommer att behöva årliga resurser motsvarande 2 årsverken, särskilt för handledning och rådgivning, som man uppskattar att kommer att accentueras i den inledande tillsynsfasen.  

Regionförvaltningsverket i Sydvästra Finland. I propositionen föreslås Regionförvaltningsverket i Sydvästra Finland tillsynsuppgifter i anslutning till marknadskontrollen av AI-system. Dessa uppgifter har bedömts förutsätta årliga resurser på 1 årsverken.  

Finanstillsynen. I propositionen föreslås Finansinspektionen tillsynsuppgifter i anslutning till marknadskontrollen av AI-system. Finansinspektionen besitter omfattande kompetens inom t.ex. hanteringen av operativa risker i fråga om de företag och börsnoterade företag som står under Finansinspektionens tillsyn. Finansinspektionen har experter vars befattningsbeskrivning kan fördjupas till tillsyn enligt AI-förordningen och på detta sätt kan man enligt Finansinspektionen täcka in en del av de framtida tillsynsuppgifterna (t.ex. juridisk kompetens), och Finansinspektionen har också konstaterat att avsikten är att i första hand täcka kompetenskraven med befintliga resurser. Finansinspektionen har ansett sig besitta en del AI-kunnighet som kan utnyttjas i tillsynen. Finansinspektionen har uppskattat de engångsresurser som genomförandet av AI-förordningen kräver till 0,5 årsverken och 250 000 euro samt de årliga behoven till 4 årsverken och 35 000 euro när verksamheten är i full gång. Resurserna allokeras till bl.a. tillsyn, personutbildning samt eventuell utveckling av tillsynssystemen.  

Säkerhets- och kemikalieverket. I propositionen föreslås Säkerhets- och kemikalieverket få tillsynsuppgifter i anslutning till marknadskontrollen av AI-system. Enligt Säkerhets- och kemikalieverket kan man förvänta sig användning av AI-teknik ökar betydligt inom åtminstone en del av de produktsektorer som omfattas av Säkerhets- och kemikalieverkets tillsyn, såsom maskiner som används av konsumenter samt leksaker. Säkerhets- och kemikalieverket har konstaterat att verket saknar AI-relaterad erfarenhet och kompetens inom ramen för verkets nuvarande uppgifter eller resurser. Verket har dock påpekat att det har erfarenhet av marknadskontroll av de produktsektorer som omfattas av verkets nuvarande behörighet. Säkerhets- och kemikalieverket har uppskattat att genomförandet av AI-förordningen kräver engångsresurser på 600 000 euro samt varje år 8 årsverken och 60 000 euro för andra kostnader än personalkostnader när verksamheten är i full gång. Resurserna skulle allokeras till bl.a. marknadskontrolluppgifter, anskaffning av externa bedömnings- och testningstjänster, och i den inledande fasen skulle resurser av engångsnatur också allokeras till uppdatering och utveckling av informationssystem och webbplatser.  

Energimyndigheten. I propositionen föreslås Energimyndigheten få tillsynsuppgifter i anslutning till marknadskontrollen av AI-system. Energimyndigheten föreslås utöva tillsyn över sådana AI-system som i enlighet med punkt 2 i bilaga III till förordningen är avsedda att användas som säkerhetskomponenter inom kritisk infrastruktur i förvaltning och verksamhet i samband med tillhandahållande av el, gas och värme. Enligt Energimyndigheten har man ännu inte sett AI-teknik i Energimyndigheten tillsynsuppgifter, men man bedömer att och i och med den pågående förändringen i energibranschen kommer energisystemen i framtiden att förutsätta nya slags system och produkter. Enligt Energimyndigheten har AI börjat utnyttjas inom den privata sektorn och myndigheten bedömer dessutom att utvecklingen på energimarknaden kan vara snabbare än inom produktionen och distributionen av energi. Enligt Energimyndighetens egen bedömning har myndigheten inte den kompetens som krävs i fråga om AI-teknik och särskilt inte inom den marknadstillsyn som hänför sig till AI-teknik. Enligt Energimyndighetens bedömning skulle de uppgifter som följer av AI-förordningen årligen kräva resurser motsvarande 2 årsverken när verksamheten är i full gång, och dessutom förutspår Energimyndigheten att man eventuellt kommer att orsakas systemkostnader.  

Tullen. I propositionen föreslås Tullen få tillsynsuppgifter i anslutning till marknadskontrollen av AI-system. Tullen har bedömt att man årligen behöver resurser motsvarande 3 årsverken när verksamheten är i full gång. Personalkostnaderna fördelar sig på Tullaboratoriets undersökningar (1 årsverke) och beslutsfattandet i anslutning till produktsäkerhet (2 årsverken). Enligt Tullen är personalkostnaderna den viktigaste utgiftsposten, men kostnader kan eventuellt också orsakas av system, och Tullen har i sitt utlåtande påpekat att förordningen och den föreslagna förordningen påverkar Tullens hela IKT-verksamhet.  

Rättsregistercentralen. Rättsregistercentralen föreslås svara för verkställigheten av de påföljdsavgifter som ska påföras med stöd av lagen om tillsyn över vissa system för artificiell intelligens. Propositionen kan således leda till att Rättsregistercentralens uppgifter ökar i någon mån. Uppskattningen av de påföljdsavgifter som ska påföras med stöd av AI-förordningen är osäker bl.a. därför att det inte är säkert hur många AI-system som omfattas av kraven enligt AI-förordningen som kommer att införas eller tas i bruk på marknaden i Finland. Antalet påföljdsavgifter kan preliminärt uppskattas till cirka 0–3 per år. På grund av överträdelser av den allmänna dataskyddsförordningen har det i Finland påförts 18 påföljdsavgifter under de första fem åren då förordningen tillämpats. Antalet påföljdsavgifter som påförs med stöd av AI-förordningen kan antas vara färre än så, eftersom AI-förordningens krav gäller endast en begränsad grupp AI-system som finns på marknaden. Propositionen bedöms inte ha några väsentliga ekonomiska konsekvenser för Rättsregistercentralen.  

Eftersom antalet påföljdsavgifter ändå baserar sig på uppskattningar, och det kan förekomma flera påföljdsavgifter per år inom olika förvaltningsområden, syns den sammantagna inverkan på Rättsregistercentralens totala arbetsmängd med dröjsmål och det eventuella behovet av tilläggsresurser kommer att preciseras först senare. Verkställigheten av påföljdsavgifter inom olika förvaltningsområden handlar om en uppgift av permanent natur och Rättsregistercentralens eventuella behov av tilläggsanslag behandlas i förfarandena som gäller planerna för de offentliga finanserna och bedömning av statsfinanserna. 

4.2.3  Konsekvenser för statsbudgeten

Skötseln av de framtida tillsynsuppgifterna enligt den föreslagna lagen är förenad med flera praktiska osäkerhetsfaktorer, och därför är det svårt att helt tillförlitligt uppskatta de framtida konsekvenserna. Osäkerhet hänför sig exempelvis till i vilken utsträckning AI-system inom de olika områden som omfattas av förordningen kan förutspås utvecklas eller användas i framtiden. AI-system kommer utvecklas och tas i bruk i varierande utsträckning inom olika områden, och vissa myndigheter kan i framtiden få mera tillsynsuppgifter än andra, t.ex. inom social- och hälsovården förefaller utvecklingen redan har fått god fart.  

Marknadskontrollen baserar sig i hög grad på operatörernas ansvar. Operatörernas ansvarsfulla utveckling och ibruktagande av AI-system styr myndighetsuppgifterna från egentlig kontroll till handledning och rådgivning, och om den genomförs effektivt är det möjligt att förebygga behovet av kontrollåtgärder i efterhand och påföljder. Syftet med den gemensamma kontaktpunktens expertfunktion är att minska kostnadseffekterna av den decentraliserade modellen genom att koncentrera expertisen till ett ställe, där den finns tillgänglig för alla tillsynsmyndigheter och de myndigheter som skyddar de grundläggande fri- och rättigheterna. Dessutom är det möjligt att reducera kostnadseffekterna genom effektiva tillsynsrutiner och enhetlig tolkning av AI-förordningen, där den gemensamma kontaktpunkten likaså har en viktig samordnande roll att främja myndigheternas samarbete och bidra till att enhetliga och effektiva tillsynsrutiner utformas. Det är viktigt att den gemensamma kontaktpunkten tilldelas tillräckliga resurser för att förordningen ska kunna genomföras effektivt. 

AI-förordningen börjar tillämpas stegvis, vilket periodiserar konsekvenserna för statsfinanserna av det nationella genomförandet av AI-förordningen. Förbjudna AI-användningsområden är tillämpliga från och med februari 2025, men myndigheternas tillsynsbefogenheter i anslutning till dem börjar gälla när den föreslagna lagen träder i kraft i augusti 2025. Detta ger operatörerna möjlighet att i tid upptäcka om de eventuellt har förbjudna AI-användningsområden som omfattas av artikel under utveckling eller i användning, så att de kan ändras eller anpassas i överensstämmelse med den nya lagstiftningsramen innan det blir aktuellt med påföljder enligt förordningen på grund av överträdelser. Om operatörerna agerar ansvarsfullt i detta avseende kan det minska trycket på myndighetstillsynen, som i fråga om förbjudna AI-användningsområden berör endast dataombudsmannen. Tillsynen över AI-system med hög risk enligt bilaga III till förordningen samt över transparensskyldigheterna för AI-system inleds i augusti 2026, vilket ger operatörerna tid att förbereda sig på AI-förordningens krav. Det ger också myndigheternas tid att förbereda sig på tillsynsuppgifterna, eftersom det inte finns någon att övervaka till denna del före augusti 2026. Däremot är det bra att satsa på handledning och rådgivning redan innan tillsynen inleds. Tillsynsuppgifterna i fråga om harmoniseringslagstiftningen enligt avsnitt A i bilaga I till förordningen aktualiseras i augusti 2027, eftersom artikel 6.1 börjar tillämpas först då. Detta ger myndigheterna möjlighet att höja tillsynsberedskapen i fråga om AI-system med hög risk stegvis, och bidrar till att engångstrycket på statsfinanserna blir inte så stort. 

Under beredningen av propositionen har det inte ansetts nödvändigt att föreslå resurser i form av tilläggsanslag till statsbudgeten för 2025 på grund av de ovannämnda omständigheterna. Resurser borde i första hand möjliggöras genom effektivisering av myndigheternas nuvarande uppgifter och anpassning av verksamheten. Det första skedet av genomförandet av AI-förordningen finansieras genom en omdisponering av befintliga resurser utan tilläggsfinansiering. 

Största delen av tillsynsuppgifterna aktualiseras i augusti 2026 eller i augusti 2027, men myndigheterna bör förbereda sig på rådgivning och handledning redan före det. Resursbehoven baserar sig på motiverade och sannolika uppskattningar av de framtida tillsynsuppgifternas omfattning och art. Sådan noggrannare information kan dock på ett heltäckande och tillförlitligt sätt finnas tillgänglig först när myndigheterna har börjat få praktisk erfarenhet av tillsynsuppgifterna. 

Medlemsstaterna ska rapportera till kommissionen den 2 augusti 2025 om statusen för resurserna för myndigheternas uppgifter, och därefter med 2 års mellanrum. Omvärderingen av resursbehoven bör knytas till den fortlöpande uppföljningen av tillsynspraxis, till informationen om och erfarenheten av den för att säkerställa en effektiv tillämpning av förordningen.  

4.2.4  Konsekvenser för företagen

Genom AI-förordningen åläggs de företag som omfattas av förordningens tillämpningsområde direkt tillämpliga krav och skyldigheter i medlemsstaterna. Dessa krav och skyldigheter är i princip inte förenade med något nationellt handlingsutrymme, och därför kan man genom nationella bestämmelser inte kännbart påverka förordningens direkta konsekvenser för företagen. AI-förordningens enhetliga rättsliga ram förbättrar den inre marknadens funktion och skapar jämlika konkurrensförutsättningar för AI-operatörer, eftersom förordningen ska tillämpas på leverantörer av AI-system på ett icke-diskriminerande sätt oberoende av om de är etablerade i unionen eller i ett tredjeland, samt på tillhandahållare av AI-system som är etablerade unionen. 

Under trepartsförhandlingarna om förordningsförslaget lät arbets- och näringsministeriet göra en utredning om konsekvenserna av förslaget till EU:s förordning om artificiell intelligens för finländska företags affärsmiljö ( Arbets- och näringsministeriets publikationer 2023:46 , publicerad 7.12.2023, på finska, med presentationsblad på svenska). Allmänt taget ansågs kraven i förordningen ligga i linje med de allmänna goda verksamhetsmodellerna och inga kritiskt tunga skyldigheter för det finländska företagsfältet identifierades. Det finns möjligheter särskilt på marknaden för ansvarsfull artificiell intelligens och i utnyttjandet av regulatoriska sandlådor. Enligt utredningen upplever dock företagen det som belastande att förordningen är oklar (t.ex. med tanke på tillämpningsområdet, definitionerna och olika aktörers skyldigheter) och att konsekvenserna är svåra att förutse. De större företagen anses ha bättre resurser för att möta kraven i förordningen medan mindre företag behöver mera stöd. Utredningen betonade att det är viktigt att regleringen är tydlig och att kommunikationen och företagens färdigheter utvecklas i samband med att förordningen träder i kraft. Företagen saknar stödresurser och handledningstjänster för att anpassa sig till kraven i AI-förordningen.  

AI-förordningen ålägger medlemsstaterna att utse marknadskontrollmyndigheter för tillämpningen av förordningen samt att föreskriva om påföljder för överträdelse av förordningen. Den föreslagna nationella regleringen, som kompletterar AI-förordningen, inverkar på sådana företags verksamhetsmiljö som för närvarande släpper ut på marknaden eller tar i bruk AI-system som omfattas av regleringen i AI-förordningen, särskilt AI-system som utnyttjar förbjudna AI-användningsområden, AI-system med hög risk samt AI-system som berörs av transparensskyldigheterna. I propositionen föreslås bestämmelser om myndighetstillsynen över dessa AI-system samt om påföljder för överträdelse av kraven i AI-förordningen.  

Propositionens eventuella positiva konsekvenser för företagen består i att det nationella rättsläget klarläggs, eftersom det inte finns några tidigare nationella bestämmelser om AI-system. Aktörerna enligt AI-förordningen kan utifrån den föreslagna lagen identifiera de myndigheter som utövar tillsyn över AI-system inom den egna sektorn eller AI-system för ett visst användningsändamål och bli medvetna om vilka tillsynsåtgärder som kan riktas till företagen och för vilka överträdelser av förordningen som administrativa påföljder kan påföras. Ett klart och förutsägbart rättsläge kan anses främja företagens konkurrenskraft och innovationer inom AI-sektorn. I detta sammanhang kommer en effektiv och snabb myndighetsverksamhet att spela en central roll vid såväl bedömningen av överensstämmelse som vid tillsynen, så att eventuella konkurrensfördelar inte äventyras.  

Konsekvenserna för företagen är fortfarande delvis osäkra. Man har ännu inte hunnit bilda sig någon exakt uppfattning om de AI-system som utnyttjar förbjudna AI-användningsområden eller AI-system med hög risk som släpps ut på marknaden eller tagits i bruk av företag i Finland. Däremot kan man anta att företag har släppt ut på marknaden eller tagit i bruk sådana AI-system som berörs av transparensskyldighet i Finland, såsom rådgivningschatbottar som utnyttjar AI. En utmaning för företagen kan vara att identifiera ’aktörskap’ enligt AI-förordningen, dvs. agerar någon i rollen som t.ex. leverantör, tillhandahållare eller användare, eller hur reglerna för klassificering av AI-system ska tolkas. Dessa tolkningar kommer att vara av väsentlig betydelse för om ett företag omfattas av förordningens och därmed den föreslagna nationella lagens tillämpningsområde. Förordningens definitioner kan fortfarande vara inexakta, tills kommissionen meddelar mer anvisningar om tolkningen. Den gemensamma kontaktpunkt som inrättas med stöd av den föreslagna lagen kommer att ha en viktig roll att utforma nationell tolkningspraxis utifrån kommissionens anvisningar genom att handleda och ge råd till de behöriga myndigheterna, som i sin tur ger företagen stöd och råd inom ramen för de egna befogenheterna.  

Den föreslagna regleringen riktar sig till företag av olika storlek, inbegripet stora företag samt små och medelstora företag, som släpper ut ovannämnda AI-system, som omfattas av AI-förordningens reglering, på marknaden. Strävan med åtgärderna enligt AI-förordningen har varit att säkerställa små och medelstora företags samt andra mindre företags verksamhetsbetingelser. I förordningen föreskrivs om vissa lättnader med fullgörandet av förordningens skyldigheter för små och medelstora företag samt mikroföretag (se t.ex. artiklarna 11.1 och 63 i AI-förordningen). Med stöd av artikel 62 ska medlemsstaterna erbjuda små och medelstora företag, inbegripet startuppföretag, särskilda stödåtgärder för tillämpningen av förordningen. Med stöd av artikel 99.1 i AI-förordningen ska de påföljder som medlemsstaterna föreskriver ta hänsyn till små och medelstora företags, inbegripet uppstartsföretags, intressen och deras ekonomiska bärkraft. Med stöd av artikel 99.6 är det också möjligt att påföra små och medelstora företag, inbegripet uppstartsföretag, lägre påföljdsavgifter än andra företag. De föreslagna bestämmelserna styr det praktiska genomförandet. 

Fullgörandet av skyldigheterna kan orsaka företagen kostnader och administrativ börda, vilket kan höja tröskeln för att släppa ut innovativa AI-system på marknaden och skapa ny affärsverksamhet. I den utredning (s. 16) som arbets- och näringsministeriet lät göra såg man att storleken på sanktionerna enligt AI-förordningen upplevs som ett hot. Samtidigt framhäver de betydelsen av att företagen måste vara särskilt medvetna om vad de får och inte får göra, t.ex. när det gäller att göra skillnad mellan inter och extern, marknadsinriktad, användning. Enligt utredningen anses kravet på särskild medvetenhet eventuellt försvåra eller förhindra utvecklandet och ibruktagandet av lösningar.  

Å andra sidan kan den ökade myndighetstillsynen över AI-system och påförandet av påföljder för överträdelse av AI-förordningen leda till att konsumenternas förtroende för AI-system stärks och därmed också främja företagens affärsmöjligheter. 

Den föreslagna regleringen kan ha såväl positiva som negativa konsekvenser för utsläppandet av innovativa produkter på marknaden eller ibruktagandet av dem. Klarhet om att en innovativ produkt överensstämmer med kraven kan främja utsläppandet av produkten på marknaden, medan eventuell oklarhet på motsvarande sätt kan inverka negativt på operatörers villighet att släppa ut dylika produkter på marknaden. Syftet med de åtgärder som föreskrivs i AI-förordningen är att främja innovativa produkters tillträde till marknaden och därmed förhindra regleringens eventuella innovationsdämpande konsekvenser. I artikel 57 i AI-förordningen föreskrivs det om regulatoriska sandlådor för AI, med vilkas hjälp man försöker främja rättssäkerheten för operatörer så att deras AI-system uppfyller villkoren i förordningen.  

4.2.5  Konsekvenser för medborgarna

I propositionen föreslås bestämmelser om myndighetstillsynen över AI-system samt om påföljder för överträdelse av AI-förordningen, och den föreslagna lagstiftningen har inga direkta rättsverkningar för medborgarna. Indirekt kan den föreslagna regleringen anses öka medborgarnas förtroende för AI-system som släppts ut på marknaden eller tagits i bruk, när medborgarna är medvetna om att riskerna med AI-system och transparensen övervakas. Effektiv reglering och tillsyn kan allmänt stärka medborgarnas uppfattning om att strävan är att utveckla och använda AI-system på ett säkert sätt och med respekt för medborgarnas grundläggande fri- och rättigheter. Propositionen kan således bidra till att stärka medborgarnas trygghetskänsla i samhället. 

I propositionen definieras de marknadskontrollmyndigheter som utövar tillsyn över AI-system. Ur medborgarnas synvinkel underlättar föreslaget identifieringen av den behöriga myndigheten i fall där man upptäcker att ett AI-system bryter mot AI-förordningens krav. Sålunda främjar förslaget också medborgarnas möjligheter att kontakta den behöriga myndigheten i fall där förordningen överträds. Till de delar som en medborgare hör till personkretsen enligt 5 § i visselblåsarlagen, har medborgaren också rätt att tryggt rapportera överträdelser av EU:s eller nationell lagstiftning som medborgaren iakttagit eller misstänker, eftersom AI-förordningen och den kompletterande nationella lagstiftningen omfattas av visselblåsarlagens tillämpningsområde (2 § 1 mom. 4 punkten). I dessa fall kan medborgaren för egen del förebygga hot och allvarliga skador som riktar sig mot ett allmänt intresse. 

4.2.6  Konsekvenser av förändringarna i informationshanteringen

Med stöd av 8 § 2 mom. i lagen om informationshantering inom den offentliga förvaltningen (906/2019, informationshanteringslagen ) ska det ministerium som ansvarar för verksamhetsområdet göra en bedömning enligt 5 § 3 mom. då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Dessutom ska ministeriet bedöma planerade bestämmelsers konsekvenser för handlingsoffentligheten och handlingssekretessen.  

Propositionen påverkar i någon mån myndigheternas informationsförvaltning. De myndigheter som ges nya uppgifter måste beroende på fallet göra ändringar i sina befintliga informationssystem för att genomföra de nya tillsynsuppgifterna och den informationshantering som de förutsätter. Det kan vara fråga om t.ex. ärendehanteringssystem. Särskilt till den del som rättigheterna att få information enligt 3 kap. i marknadskontrollagen utsträcks till nya myndigheter har detta konsekvenser för dessa myndigheters informationshantering när det gäller erhållande av och behandling av ny slags information.  

För den påföljdsavgiftsnämnd som inrättas i samband med Transport- och kommunikationsverket måste Transport- och kommunikationsverket ordna ändamålsenliga informationshanteringsförfaranden, såsom ärendehantering och dokumenthantering i fråga om de påföljdsavgifter som det föreslås att nämnden ska påföra. 

Under beredningen av propositionen har Finansinspektionen bedömt att skötseln av de nya marknadskontrolluppgifterna kräver att man antingen utvecklar det befintliga tillsynsregistret eller bygger upp ett nytt register.  

Säkerhets- och utvecklingscentret för läkemedelsområdet har bedömt att skötseln av de nya marknadstillsynsuppgifterna kräver att dess informationssystem utvecklas, vilket kan genomföras med köpta tjänster. Säkerhets- och kemikalieverket bedömer i sin tur att i den inledande fasen av genomförandet av de nya marknadskontrolluppgifterna kräver uppdateringen och utvecklingen av informationssystemen och webbplatserna en engångskostnad på 50 000 euro. Transport- och kommunikationsverket har bedömt att propositionen eventuellt inverkar på de informationssystem som verket använder. 

I propositionen föreslås rätt för Transport- och kommunikationsverket, som ska vara gemensam kontaktpunkt, och påföljdsavgiftsnämnden att få information samt om den gemensamma kontaktpunktens rätt att lämna ut information till Europeiska kommissionen. I propositionen föreslås dessutom rätt för Finansinspektionen att lämna ut information till den gemensamma kontaktpunkten och till påföljdsavgiftsnämnden. Dessa rättigheter att få och lämna ut information är centrala med tanke på hemlighållandet av information, eftersom dessa rättigheter kan omfatta personuppgifter eller uppgifter som är sekretessbelagda med stöd av 24 § 1 mom. i offentlighetslagen, såsom uppgifter som innehåller företagshemligheter. 

Propositionen har inte ansetts förutsätta finansministeriets utlåtande om bedömning av förändringar inom statsförvaltningen enligt 9 § i informationshanteringslagen. När det gäller sådana ändringar i informationssystem som hänför sig till tillsynen enligt AI-förordningen och andra konsekvenser för informationshanteringen kan marknadskontrollmyndigheterna dock behöva uppdatera sina informationshanteringsmodeller och bedöma konsekvenserna av ändringarna i takt med att genomförandet av förordningen framskrider. 

AI-förordningen i sig har konsekvenser för myndigheternas och informationshanteringsenheternas informationsförvaltning till den del som myndigheterna är tillhandahållare av AI-system med hög risk eller AI-system som omfattas av transparensskyldigheterna eller inom de ramar som artikel 5 i AI-förordningen tillåter använder system för biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpande ändamål. Dessa konsekvenser följer inte direkt av regeringens proposition, men för att göra det lättare att bilda sig en uppfattning om helheten beskrivs de mer ingående i det följande.  

Ibruktagandet av ett AI-system förutsätter sannolikt att informationshanteringsenheten gör en bedömning av konsekvenserna av förändringen i informationshanteringen och att informationshanteringsmodellen uppdateras, med beaktande av systemets natur och de informationssäkerhetsåtgärder som det förutsätter. Detta accentueras i fråga om AI-system med hög risk. Enligt artikel 26.4 ska en myndighet, i den mån myndigheten utövar kontroll över indata, också säkerställa att indata är relevanta och tillräckligt representativa med tanke på det avsedda ändamålet med AI-systemet med hög risk. I detta sammanhang avses med indata (”input”) data som ett AI-system behandlar och som utgör den grund på vilken systemet producerar utdata (”output”). Informationshanteringslagen innehåller inga bestämmelser som allmänt skulle gälla relevanta och representativa data som används i myndigheternas verksamhet, utan där föreskrivs på allmän nivå om säkerheten i fråga om informationsmaterial, som att myndigheterna ska säkerställa att informationsmaterialens uppdatering och felfrihet har verifierats (15 §). När det gäller automatiserat avgörande föreskrivs det närmare om de uppgifter som får användas (28 f §), men AI-system får i princip inte användas vid automatiserat avgörande. 

Enligt artikel 26.6 i AI-förordningen ska dessutom en myndighet som använder ett AI-system med hög risk spara de loggar som genereras automatiskt av det AI-systemet med hög risk under en period som är lämplig för det avsedda ändamålet med AI-systemet med hög risk, dock i minst sex månader. Det är fråga om ett minimikrav som det är möjligt att överskrida nationellt t.ex. i den sektorspecifika lagstiftningen, och enligt AI-förordningen tillämpas detta krav i vilket fall som helst inte, om det föreskrivs något annat om sparandet av loggar i nationell rätt. Enligt 17 § i informationshanteringslagen ska en myndighet ombesörja att logginformation insamlas om användning av dess informationssystem och om utlämnande av information från dem, om användningen förutsätter identifiering eller annan registrering. Sålunda utvidgar regleringen i artikel 26.6 i AI-förordningen det som föreskrivs nationellt i den allmänna lagstiftningen om sparandet av logginformation när myndigheten använder ett AI-system med hög risk.  

I AI-förordningen föreskrivs det också om väsentliga krav på AI-system med hög risk, i vilka ingår lämpliga metoder för dataförvaltning (artikel 10) samt en tillräcklig nivå av cybersäkerhet (artikel 15). Kraven går i samma riktning som informationshanteringslagen informationssäkerhetskrav (15 §) och krav på robusthet (13 a §). Ansvaret för att uppfylla dessa krav vilar dock enligt AI-förordningen på leverantören av AI-systemet och inte på tillhandahållaren. En myndighet som är tillhandahållare ska dock enligt informationshanteringslagen se till att ett informationssystem som tas i bruk (oberoende av om det är ett AI-system eller inte) uppfyller de krav som informationshanteringslagen ställer på myndigheternas verksamhet. Alltid när ny teknik tas i bruk kan också metoderna och sätten att uppfylla informationshanteringslagens krav förändras. 

4.2.7  Konsekvenser för de grundläggande fri- och rättigheterna och de mänskliga rättigheterna

Konsekvenser för grundläggande och mänskliga rättigheter . AI-förordningens uttryckliga syfte är att stärka skyddet för de grundläggande rättigheterna såsom fastställts i EU:s stadga om de grundläggande rättigheterna mot skadliga effekter av AI-system. Den direkt tillämpliga AI-förordningen har betydande konsekvenser för flera grundläggande fri- och rättigheter samt de mänskliga rättigheterna. Arbets- och näringsministeriet har utarbetat ett utlåtande till riksdagens stora utskott och grundlagsutskott om AI-förordningens förhållande till grundlagen och de grundläggande fri- och rättigheterna under förhandlingarna om förslaget till AI-förordning (20.11.2023, VN/34446/2022-TEM-87).  

I propositionen föreslås bestämmelser om tillsyn över AI-system samt påföljder för överträdelse av AI-förordningen. Tillsynen över AI-system säkerställer att de AI-system som släpps ut på marknaden eller tas i bruk är säkra. Genom AI-förordningen ges marknadskontrollmyndigheterna metoder att ingripa i skadliga AI-system som släppts ut på marknaden. Regleringen har också en förebyggande effekt när AI-utvecklare har en morot att utveckla de AI-system som släpps ut på marknaden så att de börjar motsvara AI-förordningens krav på grund av den tillsyn och de påföljder som riktas mot dem. När AI-systemen blir säkrare främjar propositionen också rätten till personlig trygghet och en sund miljö. Genom tillsynen över AI-system med hög risk kan man förhindra negativa konsekvenser till följd av snedvridningar som orsakas av de data som ett AI-system använder, varför tillsynen också främjar jämlikheten mellan personer.  

Strävan med flera av AI-förordningens direkt tillämpliga bestämmelser är att säkerställa att rättigheterna för i synnerhet sårbara grupper, såsom barn, äldre och personer med funktionsnedsättning, tillgodoses. Exempelvis i artikel 5.1 b i förordningen föreskrivs om förbud mot AI-system som utnyttjar en sårbarhet hos en fysisk person eller en specifik grupp av personer som härrör från ålder, funktionsnedsättning eller en specifik social eller ekonomisk situation, på ett sätt som orsakar betydande skada för dessa personer. AI-förordningens direkt tillämpliga bestämmelser samt den föreslagna nationella lagstiftningen har tillsammans en positiv inverkan på tillgodoseendet av rättigheterna för grupper av sårbara personer. Strävan med den föreslagna nationella lagstiftningen om myndighetstillsyn och påföljder i anslutning till AI-system är att säkerställa att de AI-system som släpps ut på marknaden uppfyller AI-förordningens krav, inklusive de krav som är avsedda tillgodose rättigheterna för grupper av sårbara personer. Sålunda har den nationella lagstiftningen indirekt en positiv inverkan även på tillgodoseendet av rättigheterna för grupper av sårbara personer. 

Å andra sidan innebär tillsynen över AI-system och påföljderna för överträdelse av förordningen begränsningar av näringsfriheten samt egendomsskyddet för de operatörer som släpper ut AI-system på marknaden. Den nya regleringen om AI-system kan eventuellt påverka företagens möjligheter att släppa ut AI-system på marknaden och på så vis skapa hinder för företags tillträde till marknaden, vilket kan anses ha negativa konsekvenser för näringsfriheten. Tillsynsåtgärder som riktas mot AI-system begränsar ägarnas makt att bestämma över sina AI-system, vilket i sin tur begränsar egendomsskyddet.  

I propositionen föreslås nationella bestämmelser som kompletterar AI-förordningen om påförandet av påföljder samt om påföljdsavgiftsnämnden, som ska ha rätt att påföra påföljdsavgifter som överstiger 100 000 euro. Den nationella regleringen kan anses främja rättsskyddet, när det finns exakta och noggrant avgränsade nationella bestämmelser om påförandet av påföljder. Operatören ska också ha rätt att söka ändring i beslut om påföljder.  

Bestämmelserna om påföljdsavgiftsnämnden garanterar operatörens rättsskydd när en kollegial påföljdsavgiftsnämnd och inte en enskild tjänsteman påför påföljdsavgifter av avsevärd storlek. I praktiken kan man anta att påföljdsavgiftsnämnden endast sällan påför fysiska personer påföljdsavgifter, eftersom påföljdsavgifter av avsevärd storlek kan antas komma i fråga särskilt för företag som är juridiska personer. Sålunda kan bestämmelserna om påföljdsavgiftsnämnden antas ha små eller endast indirekta konsekvenser för fysiska personers rättsskydd. 

Konsekvenser för skyddet av personuppgifter. Med stöd av artikel 2.7 i AI-förordningen är unionsrätt om skydd av personuppgifter, integritet och konfidentialitet vid kommunikation tillämplig på personuppgifter som behandlas i samband med de rättigheter och skyldigheter som fastställs i AI-förordningen. AI-förordningen påverkar inte den allmänna dataförordningen och förordning (EU) 2018/1725 eller direktiv 2002/58/EG och dataskyddsdirektivet för brottsbekämpning, utan att det påverkar tillämpningen av artiklarna 10.5 och 59 i AI-förordningen.  

I lagförslag nr 1 i propositionen ingår bestämmelser om rättigheter att få information för den gemensamma kontaktpunkten och påföljdsavgiftsnämnden, varigenom myndigheterna också kan få personuppgifter. Även den gemensamma kontaktpunktens rätt att lämna ut information till Europeiska kommissionen kan beröra personuppgifter. I lagförslag nr 4 i propositionen ingår bestämmelser om rätt för Finansinspektionen att lämna ut information till den gemensamma kontaktpunkten och påföljdsavgiftsnämnden, vilken kan gälla även utlämnande av personuppgifter. Den föreslagna nationella lagstiftningen har ingen försvagande inverkan på unionsrätten om personuppgifter. Den tillämpliga dataskyddslagstiftningen, såsom den allmänna dataskyddsförordningen och dataskyddslagen, ska iakttas parallellt med behandlingen av personuppgifter enligt den föreslagna lagen. I propositionen föreslås bestämmelser om myndigheternas rättigheter att få information och rätt att lämna ut information inom det handlingsutrymme som dataskyddsförordningen tillåter. Myndigheternas möjlighet att få information säkerställer ett effektivt nationellt genomförande av AI-förordningen och de myndighetsuppgifter som hänför sig till den.  

En förutsättning för myndigheternas rättigheter till information enligt lagförslag nr 1 i propositionen är att informationen är nödvändig för skötseln av vissa myndighetsuppgifter som anges i lagen. En förutsättning för Finansinspektionens rätt att lämna ut information enligt 71 § i lagförslag nr 4 i propositionen är åter att informationen behövs för att de myndigheter som specificeras i bestämmelsen ska kunna sköta sina uppgifter. Kravet på att informationen ska vara nödvändig eller behövas säkerställer att myndigheterna kan få uppgifter endast i proportionell omfattning och för ett tvingande behov.  

5.1.1  Alternativa sätt att genomföra myndighetstillsynen

Bedömning av en centraliserad och decentraliserad marknadstillsynsmodell. I propositionen har man stannat för att fördela marknadskontrolluppgifterna i anslutning till AI-system på flera olika myndigheter. De myndigheter som redan i nuläget svarar för marknadskontrollen av produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I till AI-förordningen ska i fortsättningen svara för marknadskontrollen av AI-system med hög risk som hänför sig till dessa produkter. Propositionen innehåller dessutom bestämmelser om helt nya uppgifter för marknadskontrollmyndigheterna som gäller AI-system med hög risk som används inom områden som avses i bilaga III till AI-förordningen, eftersom det inte har riktats någon marknadskontroll mot dessa system tidigare.  

Med hjälp av den decentraliserade modellen är det möjligt att utnyttja befintlig marknadskontroll- och annan specialkompetens, såsom dataskyddskompetens, vilket har bedömts medföra synergifördelar. Den decentraliserade modeller beror delvis på utgångspunkten i förordningen (artikel 74.3). Den decentraliserade modellen förutsätter att AI-kompetens utvecklas vid flera myndigheter. Trots att det krävs resurser för att förbättra kompetensunderlaget har det också ansetts gagna myndigheterna när de ska förbereda sig för framtida förändringar på de aktuella områdena. Det är också möjligt att minska den resursintensivitet som kompetensen kräver genom att koncentrera den djupgående AI-kompetensen till den gemensamma kontaktpunkten, som erbjuder myndigheterna sakkunnigstöd. Utmaningar med den decentraliserade modellen kan tänkas vara att tolknings- och tillsynspraxisen i anslutning till förordningen eventuellt blir oenhetlig, vilket kan medföra behörighetskonflikter. Av denna orsak föreslås den gemensamma kontaktpunkten få i uppgift att samordna och främja myndigheternas samarbete, så att det kan säkerställas att den nationella tillämpningen av förordningen är enhetlig. Dessutom spelar de befintliga marknadskontrollstrukturerna, såsom samordningskontoret för marknadskontroll i anslutning till Säkerhets- och kemikalieverket och dess nationella strategi för marknadskontroll, en central roll för att stödja en enhetlig marknadskontroll på Finlands i princip decentraliserade marknadskontrollfält. 

Under beredningen av propositionen har man också bedömt ett alternativ där marknadskontrollen av AI-system skulle koncentreras till endast en myndighet. Fördelen med det alternativet är att det skulle vara möjligt att koncentrera kompetensen och sakkunskapen i anslutning till AI-system till endast en myndighetsaktör. Under beredningen av propositionen har de nuvarande marknadskontrollmyndigheterna fört fram att de nya tillsynsuppgifter som följer av AI-förordningen kräver ny slags kompetens i anslutning till AI-system av dem. En fördel med centraliserad marknadskontroll är också att den skulle kunna leda till en enhetligare tillämpningspraxis. I en modell med centraliserad marknadskontroll skulle det vara möjligt att säkerställa att produktspecifik sakkunskap utnyttjas genom samarbete mellan den centraliserad marknadskontrollmyndigheten och de produktspecifika tillsynsmyndigheterna. Det skulle krävas mycket omfattande samarbete med olika förvaltningsområden, och behovet av sådan djupgående sektorspecifik kompetens som krävs för tillsynen skulle inte nödvändigtvis kunna fyllas när det gäller t.ex. specialbestämmelserna om medicintekniska produkter. 

Under beredningen av propositionen har man bedömt i synnerhet Säkerhets- och kemikaliverkets, Transport- och kommunikationsverkets samt dataombudsmannens möjligheter att sköta centraliserad marknadskontroll av AI-system. Säkerhets- och kemikalieverket har erfarenhet av marknadskontroll av de produktsektorer som omfattas av verksamhets nuvarande behörighet inom ramen för marknadskontrollförordningen (EU/2019/1020). Transport- och kommunikationsverket sköter marknadskontrolluppgifter i fråga om fritidsbåtar och radioutrustning. Säkerhets- och kemikalieverkets och Transport- och kommunikationsverkets marknadskontrolluppgifter stödjer särskilt marknadskontrollen av sådana AI-system med hög risk som hänför sig till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I till AI-förordningen. Däremot omfattar dataombudsmannens nuvarande uppgifter inte marknadskontrolluppgifter. Under beredningen av propositionen har dataombudsmannen dock fört fram att denne skulle ha möjligheter att vara marknadskontrollmyndighet i situationer där AI-systemets verksamhet till centrala delar baserar sig på behandling av personuppgifter eller där behandlingen av personuppgifter spelar en central roll. Trots att många AI-system baserar sig på behandling av personuppgifter eller behandlar personuppgifter, baserar sig ändå inte alla AI-system som omfattas av förordningens tillämpningsområde på behandling av personuppgifter. Dataombudsmannen ges i vilket fall som helst nya marknadskontrolluppgifter med stöd av artikel 74.8 i AI-förordningen, och dessutom föreslås att dataombudsmannen ska utöva tillsyn över t.ex. förbjudna AI-användningsområden.  

Under beredningen av propositionen har man alltså inte stannat för en centraliserad marknadskontrollmodell utan beslutat att fördela marknadskontrolluppgifterna på flera olika myndigheter, vilket också för närvarande har varit utgångspunkt när marknadskontrolluppgifterna har ordnats nationellt. Detta stödjer också utgångspunkten i AI-förordningen, som är att vara sektorsövergripande reglering som kompletterar den gällande regleringen. 

Marknadskontrollen av AI-system förutsätter ny slags sakkunskap, och därför har man under beredningen av propositionen inte identifierat någon myndighet som skulle besitta sådan kompetens som förutsätts för centraliserad tillsyn över AI-system. En centraliserad marknadskontrollmyndighet besitter inte heller sakkunskap om alla sektorspecifika produkter och lagstiftningen om dem, så det skulle vara nödvändigt att överföra sakkunniga och andra resurser från de nuvarande marknadskontrollmyndigheterna till denna centraliserade myndighet. Om marknadskontrolluppgifterna fördelas på två olika myndigheter inom varje sektor skulle det dessutom kunna försvåra det praktiska tillsynsarbetet: exempelvis vid tillsynen över hissutrustning som använder ett AI-system som säkerhetskomponent skulle både Säkerhets- och kemikalieverket, som övervakar hissar, och den hypotetiska myndighet som övervakar AI-system behöva vara med. Då skulle myndigheterna, eventuellt fallspecifikt och produktspecifikt, behöva diskutera och nå samförstånd om behörighetsfördelningen. Även det företag som tillverkar hissutrustning skulle alltid behöva stå i kontakt med båda myndigheterna beroende på vilken del av hissutrustningen som man vill ha råd eller anvisningar om.  

När AI-system blir vanligare i samhället betyder det att marknadskontrollmyndigheterna och andra myndigheter i vilket fall som helst måste utveckla sin AI-relaterade sakkunskap. Nu kan de göra detta systematiskt, som en del av sina förberedelser för tillsynen över AI-system. Om marknadskontrolluppgifterna i anslutning till alla AI-system skulle koncentreras till en myndighet nu, finns det risk för att den centraliserade marknadskontrollmyndighetens tillsynsansvar ökar oproportionerligt jämfört de andra marknadskontrollmyndigheterna när användningen av AI-system breder ut sig ytterligare. Dessutom skulle en sådan centraliserad uppgift vara av sådan skala att den i praktiken inte kan läggas till någon av de nuvarande tillsynsmyndigheternas uppgifter, utan det skulle vara mer ändamålsenligt att inrätta en helt ny myndighet. Detta skulle i sin tur orsaka betydande engångskostnader och fortlöpande kostnader. Om en sådan myndighet sedan när det blir vanligare med AI skulle visa sig vara en alltför stelbent lösning, skulle en nedläggning och decentralisering av uppgifterna också orsaka kostnader. 

Alternativa sätt att fördela marknadskontrolluppgifterna enligt produkt och sektor. I 3 § i lagförslag nr 1 i propositionen ingår bestämmelser om marknadskontrollmyndigheter för AI-system med hög risk. Under beredningen av propositionen har man bedömt olika alternativ med avseende på hur marknadskontrollmyndigheternas uppgifter fördelar sig i fråga om AI-system med hög risk som används i olika produkter eller sektorer. I denna proposition utses till marknadskontrollmyndighet för sådana AI-system som klassificeras som system med hög risk med stöd av artikel 6.1 i AI-förordningen de myndigheter som redan i nuläget svarar för tillsynen över produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I till förordningen. AI-förordningens bestämmelser begränsar delvis medlemsstaternas möjligheter att utse marknadskontrollmyndigheter för de aktuella produkterna. I artikel 74.3 i AI-förordningen sägs att för AI-system med hög risk som är relaterade till produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I ska marknadskontrollmyndigheten vid tillämpning av förordningen vara den myndighet ansvarig för marknadskontroll som utsetts enligt de rättsakterna. Med stöd av andra stycket i den punkten får dock medlemsstaterna under lämpliga omständigheter utse en annan berörd myndighet att fungera som marknadskontrollmyndighet under förutsättning att de säkerställer samordning med de berörda sektorsspecifika marknadskontrollmyndigheter som är ansvariga för kontroll av efterlevnaden av unionens harmoniseringslagstiftning som förtecknas i bilaga I. Under beredningen av propositionen har det inte ansetts nödvändigt att utnyttja det nationella handlingsutrymme som förordningen tillåter att undantagsvis utse andra marknadskontrollmyndigheter än de som svarar för marknadskontrollen av produkter som omfattas av avsnitt A i bilaga I. Dessa myndigheter besitter kompetens och sakkunskap i fråga om marknadskontrollen av de aktuella produkterna, vilket kan anses stödja även marknadskontrollen av AI-system som hänför sig till dessa produkter.  

I bilaga III till AI-förordningen föreskrivs det om områden där AI-system med hög risk används. Under beredningen av propositionen har man beslutat att inte föreslå några marknadskontrolluppgifter för Försörjningsberedskapscentralen i fråga om sådana AI-system med hög risk inom kritisk infrastruktur som omfattas av punkt 2 i bilaga III till förordningen. Försörjningsberedskapscentralen har en gränssnittsroll mellan förvaltningen och företagen i anslutning till försörjningsberedskapslagren. En ny tillsynsroll för Försörjningsberedskapscentralen anses inte passa ihop med Försörjningsberedskapscentralens verksamhetsmodell, som baserar sig på samarbete med bl.a. företag och andra organisationer. Försörjningsberedskapscentralen har inte heller några marknadskontrolluppgifter i nuläget. Man har inte heller beslutat att föreslås några marknadskontrolluppgifter i fråga om AI-system med hög risk inom kritisk infrastruktur för Strålsäkerhetscentralen, eftersom man vid genomförandet av CER- och NIS 2-direktiven har beslutat att inte heller föreslå några uppgifter som gäller tillsynen enligt de direktiven för Strålsäkerhetscentralen. Det är möjligt att utnyttja Strålsäkerhetscentralens sakkunskap och kompetens inom marknadskontrollen genom samarbete mellan myndigheterna.  

Gemensam kontaktpunkt. Under beredningen av propositionen har man bedömt Transport- och kommunikationsverkets, dataombudsmannens och Säkerhets- och kemikalieverkets möjligheter att sköta uppgiften som gemensam kontaktpunkt enligt artikel 70.2 i AI-förordningen, eftersom dessa myndigheter föreslås även i övrigt få betydelsefulla uppgifter i anslutning till tillsynen över AI-förordningens krav. För att sköta den gemensamma kontaktpunktens uppgifter förutsätts att de aktuella myndigheternas kompetens och tekniska förmåga säkerställs.  

Enligt rekommendationerna i Europeiska dataskyddsstyrelsens utlåtande (3/2024, 16.7.2024) bör datatillsynsmyndigheten vara gemensam kontaktpunkt. Dataombudsmannens byrå sköter inte för närvarande uppgifter som gemensam kontaktpunkt med stöd av annan lagstiftning, men bedriver samarbete som påminner om den gemensamma kontaktpunktens uppgifter med andra myndigheter på reglerade områden.  

I anslutning till Säkerhets- och kemikalieverket finns för närvarande Fipoint, som är centralt samordningskontor för marknadskontroll. I artikel 70.2 i AI-förordningen förutsätts att marknadskontrollmyndigheten ska fungera som gemensam kontaktpunkt. Det centrala samordningskontoret för marknadskontroll som finns i anslutning till Säkerhets- och kemikalieverket ska verka självständigt och oberoende i förhållande till marknadskontrollmyndigheterna och Tullen (se RP 154/2020 rd). Under beredningen av propositionen har Säkerhets- och kemikalieverket framfört att samordningskontoret av dessa orsaker inte kan vara gemensam kontaktpunkt för AI-förordningens ändamål.  

Transport- och kommunikationsverket sköter för närvarande den ledande nationella samordningsuppgift som följer av EU:s förordning om digitala tjänster och största delen av de egentliga tillsynsuppgifterna enligt förordningen. För verket kommer också att föreslås tillsynsuppgifter enligt dataakten samt uppgifter som datasamordnare. Verkets samordningsuppgifter kan erbjuda synergifördelar för skötseln av uppgiften som gemensam kontaktpunkt, när verket samlar erfarenhet och kompetens genom att sköta liknande uppgifter. Av dessa orsaker har det bästa alternativet ansetts vara att placera den gemensamma kontaktpunkten vid Transport- och kommunikationsverket.  

Tillsyn över förbjudna AI-användningsområden. Enligt propositionen ska dataombudsmannen i egenskap av marknadskontrollmyndighet övervaka efterlevnaden av förbjudna AI-användningsområden enligt artikel 5 i AI-förordningen. Under beredningen av propositionen har man inte stannat för ett sådant regleringsalternativ att dessa användningsområden skulle övervakas decentraliserat av varje behörig marknadskontrollmyndighet enligt 3 § i den föreslagna lagen inom det egna ansvarsområdet. Förbjudna AI-användningsområden enligt AI-förordningen är inte till alla delar knutna till ett enskilt ansvarsområde, utan förbjudna områden kan förekomma inom flera olika ansvarsområden. Det är också möjligt att förbjudna AI-användningsområden förekommer inom ansvarsområden som inte är knutna till tillsynsområdet för någon marknadskontrollmyndighet som avses i 3 §.  

Flera förbjudna AI-användningsområden är nära sammankopplade med behandling av personuppgifter. Till dataskyddsmyndighetens uppgifter hör i vilket fall som helst att övervaka lagenligheten i behandling av personuppgifter i anslutning till dessa användningsområden. Av denna orsak har man under beredningen beslutat att föreslå att dataombudsmannen ska utöva tillsyn över efterlevnaden av dessa användningsområden. Under beredningen av propositionen har man inte identifierat några andra marknadskontrollmyndigheter vilkas nuvarande uppgiftsfält skulle passa ihop med tillsynen över dessa användningsområden. 

Anmälande myndigheter. Enligt artikel 28.1 i AI-förordningen ska varje medlemsstat utse eller inrätta minst en anmälande myndighet med ansvar för att fastställa och genomföra de förfaranden som krävs för bedömning, utseende och anmälan av organ för bedömning av överensstämmelse och för övervakning av dessa.  

I denna proposition föreslås att till anmälande myndigheter utses med stöd av AI-förordningen de myndigheter som redan för närvarande sköter uppgifter som anmälda organ i fråga om produkter som omfattas av unionens harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I till AI-förordningen. Dessa myndigheter ska i fortsättningen svara för sådana uppgifter för anmälda organ som gäller AI-system som klassificeras som system med hög risk med stöd av artikel 6.1 i förordningen och som hänför sig till produkter som omfattas av avsnitt A i den bilagan. I propositionen föreslås bestämmelser om arbets- och näringsministeriets helt nya uppgift som anmälande myndighet i fråga om AI-system med hög risk för biometri enligt punkt 1 i bilaga III. 

Under beredningen av propositionen har ett sådant regleringsalternativ inte ansetts ändamålsenligt där uppgifterna som ansvarig för anmälda organ för alla AI-system med hög risk skulle koncentreras till endast en myndighet. I nuläget har flera olika myndigheter uppgifter som gäller anmälda organ. För de produkter som fastställts i den harmoniseringslagstiftning som förtecknas i avsnitt A i bilaga I till AI-förordningen har det redan utsetts nationella myndigheter med ansvar för anmälda organ. Av denna orsak har det ansetts ändamålsenligt att fördela uppgifterna i anslutning till anmälan av AI-system som hänför sig till produkter som omfattas av avsnitt A i bilaga I till förordningen på olika myndigheter med ansvar för anmälan utifrån dessa myndigheters nuvarande anmälningsuppgifter. 

Under beredningen av propositionen har man bedömt möjligheten att anvisa någon annan myndighet än arbets- och näringsministeriet uppgiften som gäller anmälda organ för sådana AI-system med hög risk för biometri som omfattas av punkt 1 i bilaga III. Dessa AI-system för biometri har samband med skyddet av personuppgifter, varför man under beredningen har bedömt möjligheten att anvisa justitieministeriet uppgiften som gäller anmälda organ. I denna proposition stannade man ändå inte för det regleringsalternativet, eftersom justitieministeriet inte för närvarande sköter några uppgifter som gäller anmälda organ till skillnad från arbets- och näringsministeriet. Under beredningen bedömde man också ett alternativ där Transport- och kommunikationsministeriet skulle sköta uppgiften som ansvarig för anmälda organ. Transport- och kommunikationsverket sköter redan för närvarande uppgifter som gäller anmälda organ. Under beredningen ansåg man dock att den aktuella uppgiften inte har någon stark koppling till Transport- och kommunikationsverkets uppgiftsområde. 

Tillsyn över transparensskyldigheterna. Tillsynen över transparensskyldigheterna enligt artikel 50 i AI-förordningen fullgörs så att de marknadskontrollmyndigheter enligt lagens 3 § som utövar tillsyn över AI-system med hög risk övervakar inom sitt ansvarsområde fullgörandet av transparensskyldigheter till den del de riktar sig till AI-system med hög risk. Dessutom ska Transport- och kommunikationsverket utöva central tillsyn över fullgörandet av transparensskyldigheterna i fråga om andra AI-system än system med hög risk.  

Transparensskyldigheterna enligt artikel 50 i AI-förordningen kan också rikta sig till andra AI-system än sådana som klassificeras som system med hög risk, såsom rådgivningsrobotar som utnyttjar AI eller konstverk där AI används. Av denna orsak har man under beredningen inte ansett ett sådant regleringsalternativ möjligt där tillsynen över fullgörandet av transparensskyldigheten skulle anvisas endast de marknadskontrollmyndigheter som avses i 3 §. Risken med det regleringsalternativet skulle vara att tillsyn över andra AI-system än system med hög risk inte skulle riktas till något tillsynsområde för de marknadskontrollmyndigheter som anges i lagens 3 §, varvid dessa AI-system skulle stanna utanför tillsynen. 

Under beredningen av propositionen har man bedömt ett regleringsalternativ där tillsynen över fullgörandet av transparensskyldigheterna, också i fråga om AI-system med hög risk, skulle koncentreras till endast en myndighet. Under beredningen stannade man ändå inte för det alternativet, eftersom transparensskyldigheterna kan i vissa fall rikta sig till AI-system som ska klassificeras som system med hög risk. I sådana fall har det ansetts ändamålsenligt att marknadskontrollmyndigheterna för AI-system med hög risk svarar för fullgörandet av de transparensskyldigheter som riktar sig till ett sådant system. 

Under beredningen av propositionen har man också bedömt Säkerhets- och kemikalieverkets och dataombudsmannens möjligheter att centraliserat svara för tillsynen över de transparensskyldigheter som gäller andra AI-system än system med hög risk. Under beredningen har det inte ansetts ändamålsenligt att Säkerhets- och kemikalieverket skulle sköta den centraliserade tillsynen över transparensskyldigheterna, eftersom Säkerhets- och kemikalieverkets nuvarande tillsynsuppgifter är fokuserade på tillsyn över fysiska produkter. Inte heller dataombudsmannen har ansetts vara en ändamålsenlig aktör att sköta den centraliserade tillsynsuppgiften, eftersom tillsynen över efterlevnaden av transparensskyldigheterna inte alltid står i samband med tillsynen över skyddet av personuppgifter. Enligt artikel 50.3 om transparensskyldigheter i AI-förordningen ska dock tillhandahållare av ett system för känsloigenkänning eller ett system för biometrisk kategorisering informera de fysiska personer som exponeras för systemet om systemets drift, och ska behandla personuppgifter i enlighet med den allmänna dataskyddsförordningen, förordning (EU) 2018/1725 och dataskyddsdirektivet för brottsbekämpning, beroende på vad som är tillämpligt. Tillsynen över den bestämmelsen hör redan i nuläget till dataombudsmannens uppgifter. 

Transport- och kommunikationsverket har bedömts vara en ändamålsenligare myndighetsaktör för den centraliserade tillsynen över andra AI-system än system med hög risk än Säkerhets- och kemikaliecentralen och dataombudsmannen. Tillsynen över transparensskyldigheterna kan anses ha starkare koppling till Transport- och kommunikationsverkets ansvarsområde och uppgifter än de ovannämnda myndigheterna. Fullgörandet av transparensskyldigheterna har också betydelse för tillsynen över webbplattformar. I skäl 120 i AI-förordningens ingress konstateras de skyldigheter som åläggs leverantörer och tillhandahållare av vissa AI-system i förordningen för att det ska vara möjligt att upptäcka och visa att utdata från dessa system genereras eller manipuleras artificiellt är särskilt relevanta för att underlätta ett effektivt genomförande av förordningen om digitala tjänster. Transport- och kommunikationsverket svarar för tillsynsuppgifter i anslutning till tillämpningen av förordningen om digitala tjänster och bestämmelser om dem ingår i lagen om tillsyn över förmedlingstjänster på nätet (18/2024). Med stöd av artikel 50.5 i AI-förordningen ska dessutom den information som är föremål för transparensskyldigheterna uppfylla de tillämpliga tillgänglighetskraven. Transport- och kommunikationsverket övervakar också för närvarande efterlevnaden av tillgänglighetskraven med stöd av lagen om tillgänglighetskrav för vissa produkter (102/2023), vilket också stödjer tillsynen över tillgänglighetskraven för information som omfattas av transparensskyldigheterna. Dessa orsaker talar för att tillsynen över transparensskyldigheterna åläggs Transport- och kommunikationsverket, eftersom tillsynen har koppling till verkets nuvarande tillsynsuppgifter och man kan uppnå synergieffekter genom att koncentrera tillsynen. 

Tillsyn över tillgänglighets- och webbtillgänglighetskraven. Enligt artikel 16.1 i AI-förordningen ska leverantörer av AI-system säkerställa att AI-system med hög risk uppfyller tillgänglighetskraven i enlighet med direktiven (EU) 2016/2102 och (EU) 2019/882. Med stöd av artikel 50.5 i AI-förordningen ska dessutom information som omfattas av transparensskyldigheterna lämnas till de berörda fysiska personerna på ett tydligt och urskiljbart sätt senast vid tidpunkten för den första interaktionen eller exponeringen. Informationen ska uppfylla de tillämpliga tillgänglighetskraven.  

Under beredningen av propositionen har man bedömt en modell där samtliga marknadskontrollmyndigheter skulle utöva tillsyn över tillgänglighetskraven för AI-system och beroende på fallet även webbtillgänglighetskraven som en del av sina nuvarande marknadskontrolluppgifter. Till dessa delar föreslås det att tillsyn över tillgänglighets- och webbtillgänglighetskraven för AI-system med hög risk ska utövas av de marknadskontrollmyndigheter vilkas behörighet omfattar det aktuella AI-systemet med hög risk, eftersom tillsynen över tillgänglighets- och webbtillgänglighetskraven ska vara en del av marknadskontrollen av AI-system, där som tillsynen över tillgänglighets- och webbtillgänglighetskraven är tillsyn över tjänster och deras tillhandahållare. I samband med genomförandet av AI-förordningen görs således inga ingrepp i tillsynen över tillgänglighets- och webbtillgänglighetskraven vad gäller olika tjänster och deras tillhandahållare. Marknadskontrollmyndigheten enligt lagen om tillgänglighetskrav för vissa produkter ska dock utöva tillsyn över produkter som omfattas av den lagens tillämpningsområde i fråga om deras tillgänglighetskrav till den del produkterna samtidigt också är AI-system med hög risk. 

5.1.2  Alternativa sätt att genomföra påföljdsregleringen

Under beredningen har man bedömt artikel 99 om påföljder i AI-förordningen och det handlingsutrymme som den möjliggör. Enligt AI-förordningen ska medlemsstaterna fastställa bestämmelser om påföljder och andra efterlevnadsåtgärder som också kan innefatta varningar och icke-monetära åtgärder som ska tillämpas vid operatörers överträdelser av bestämmelserna i AI-förordningen och vidta alla nödvändiga åtgärder för att se till att de tillämpas korrekt och effektivt. Enligt förordningen ska påföljderna vara effektiva, proportionella och avskräckande. 

Under beredningen har man bedömt möjligheten att föreskriva om en anmärkning eller varning som ges operatören och som inte i sig skulle ha några egentliga konsekvenser, men som skulle kunna styra verksamheten hos en aktör som överträder eller försummar skyldigheter enligt förordningen. I samband med den skulle man också kunna kräva, eventuellt vid vite, att operatören korrigerar eller ändrar sitt förfarande. Exempelvis för överträdelse av vissa skyldigheter enligt dataförvaltningsakten (EU) 2022/868 kan anmärkning ges med stöd av 330 § i lagen om tjänster inom elektronisk kommunikation. Detta har dock inte ansetts nödvändigt under beredningen, eftersom den rättsliga inverkan av en anmärkning eller varning är som sådan liten, och eftersom AI-förordningen är marknadskontroll, vilket innebär att marknadskontrollmyndigheterna i vilket fall som helst ska ha heltäckande tillsynsbefogenheter på det sätt som föreskrivs i 3 kap. i marknadskontrollagen. Åtgärdsföreläggande enligt 17 § i marknadskontrollagen har under beredningen ansetts vara en sådan lämplig och effektiv metod att styra en operatör att korrigera AI-systemet eller förfarandet så att den risk eller hotande risk som systemet eller förfarandet orsakat försvinner. Då finns det inget behov av ett separat anmärknings- eller varningsförfarande. Föreläggandet kan också i enlighet med 28 § i marknadskontrollagen förenas med vite, eller så kan marknadskontrollmyndigheten med stöd av den paragrafen också hota med att den försummade åtgärden utförs på den försumliges bekostnad. Mindre förseelser eller försummelser ska inte förutsätta några åtgärder, förutom eventuellt rådgivning eller informationsstyrning från myndighetens sida. Det ska inte heller vara möjligt att påföra påföljdsavgift för mindre förseelser. 

I propositionen har man stannat för att inte föreslå straffrättsliga påföljder för överträdelser eller försummelser enligt AI-förordningen. På grund av den straffrättsliga ultima ratio-principen bör straffrättsliga påföljder användas som sista alternativ för att bestraffa överträdelser eller försummelser. Under beredningen av propositionen har man ansett att det inte finns något vägande samhälleligt behov av att bestämma om straffrättsliga påföljder, utan det är möjligt att bestraffa överträdelser av förordningen med administrativa påföljder. 

På grund av artikel 99 i AI-förordningen föreskrivs det i förslaget om en administrativ påföljdsavgift som påförs operatörer. Under beredningen har man inte desto mera detaljerat bedömt alternativ till påföljdsavgifter som påföljd, eftersom förordningen inte ger handlingsutrymme att avgöra saken nationellt på något annat sätt. Under beredningen har man dock bedömt alternativet att föreskriva om påföljdsavgifter endast genom informativa hänvisningar så att AI-förordningens skyldigheter och påföljdsavgifter för dem blir direkt tillämpliga som sådana utifrån förordningen. Det föreslås dock att förfarandet för påförande av påföljdsavgifter preciseras till vissa delar för att garantera ett rättvist förfarande på det sätt som artikel 99.10 i AI-förordningen tillåter. Eftersom påföljdsavgifterna är påföljder av straffkaraktär, föreskrivs det nationellt på ett noggrannare avgränsat sätt om de skyldigheter beträffande vilka överträdelse eller försummelse kan leda till att en påföljdsavgift påförs för att genomföra den nationella legalitetsprincipen. I praktiken innebär detta att de nationella bestämmelserna om dessa skyldigheter är uttömmande. I fråga om många skyldigheter är skyldigheten i sig tillräckligt tydligt formulerad i AI-förordningen, och då räcker det med en hänvisning till själva skyldigheten. Beträffande vissa skyldigheter är det dock nödvändigt att precisera eller inskränka den formulering som använts i förordningen, så att skyldigheten är tillräckligt noggrant avgränsad och tydligt uttryckt i lagstiftningen. Särskilt kraven för AI-system med hög risk i artiklarna 9–15 är i många avseende kvalitativa, och dessutom är de anmärkningsvärt många. Till vissa delar kommer iakttagandet av dem också att knytas till harmoniserade standarder eller tekniska specifikationer, som inte nödvändigtvis ens finns tillgängliga i det skede då bestämmelserna om påföljder måste träda i kraft.  

Eftersom påföljdsavgifterna kan vara av avsevärd storlek, har man under beredningen också bedömt vilket eller vilka organ som skulle lämpa sig för att påföra påföljdsavgifter. Eftersom tillsynen över AI-förordningen kommer att utövas av en stor grupp olika marknadskontrollmyndigheter, har det under beredningen inte ansetts ändamålsenligt eller resurseffektivt att inrätta påföljdsavgiftskollegier vid de marknadskontrollmyndigheter som inte har något sådant organ från tidigare. För detta talar också att stora påföljdsavgifter har bedömts förekomma sällan, och att sådana påföljdsavgiftsorgan inte påför andra påföljdsavgifter av straffkaraktär än enligt AI-förordningen. Det är möjligt att om EU-regleringen allt mer utvecklas i en riktning där avsevärda påföljdsavgifter ska påföras för överträdelse av bestämmelserna måste detta granskas senare och på nytt som en helhet.  

Dessutom har man bedömt möjligheten att koncentrera påförandet av större påföljdsavgifter till en viss myndighet, särskilt till en sådan där det redan finns ett kollegialt påföljdsavgiftsorgan. Detta skulle dock inte säkerställa en tillräckligt heltäckande och omfattande sakkunskap och inte heller beakta AI-teknikens relativt nya men växande roll inom många olika samhällssektorer. Särskilt för att uppfylla de nationella författningsrättsliga ramvillkoren har man under beredningen således ansett att den bästa lösningen är en påföljdsavgiftsnämnd för tillsynen över system för artificiell intelligens, som består av ledamöter som utses av de marknadskontrollmyndigheter som utövar tillsyn över AI-förordningen. Under beredningen har man bedömt om påföljdsavgiftsnämnden borde placeras vid Transport- och kommunikationsverket, Säkerhets- och kemikalieverket eller dataombudsmannens byrå. Av dessa är dataombudsmannens byrå inte en byrå i traditionell mening, utan den finns för att stödja dataombudsmannens arbete. Säkerhets- och kemikalieverket spelar åter en viktig roll inom marknadskontrollen, men de största påföljdsavgifterna förutspås inte rikta sig till sådana AI-system med hög risk som Säkerhets- och kemikaliverket övervakar, och verket har inte tidigare erfarenhet av att påföra mycket stora påföljdsavgifter. Däremot har det nyligen inrättats ett påföljdsavgiftskollegium i anslutning till Transport- och kommunikationsverket, och dessutom ska verket enligt förslaget fungera som gemensam kontaktpunkt för myndighetsverksamheten enligt AI-förordningen samt själv vara marknadskontrollmyndighet för vissa AI-system. Dessutom föreslås det att en påföljdsavgiftsnämnd inrättas vid Transport- och kommunikationsverket i samband med genomförandet av NIS 2-direktivet (EU) 2022/2555 om informations- och cybersäkerhet (RP 57/2024 rd), enligt samma principer som den föreslagna påföljdsavgiftsnämnden för tillsynen över AI-system, varvid organiseringen av påföljdsavgiftsnämndernas administrativa arbete kunde medföra synergifördelar. Påföljdsavgiftsnämnden enligt den propositionen (RP 57/2024 rd) är avsedd för behandlingen av ärenden som gäller informations- och cybersäkerhet och den är inte som sådan lämpad att påföra påföljdsavgifter enligt AI-förordningen.  

Under beredningen har man också bedömt hur stora påföljdsavgifter som det ska ankomma på påföljdsavgiftsnämnden att påföra. Enligt 7 a § i lagen om Transport- och kommunikationsverket ska Transport- och kommunikationsverkets påföljdskollegium ha till uppgift att påföra påföljdsavgifter som omfattas av verkets behörighet i sådana fall när påföljdsavgiften överstiger 100 000 euro, dvs. i detta sammanhang har gränsen ansetts gå vid 100 000 euro. Under beredningen har man också bedömt att det är ändamålsenligt att det kollegiala organet ska påföra påföljdsavgifter när avgiften uppgår till 100 000 euro eller mera. 

5.1.3  Handlingsmodeller som används eller planeras i andra medlemsstater

Vid den tidpunkt då propositionen bereds har största delen av medlemsstaterna bara börjat planera sina genomförandeåtgärder, så jämförelsen är förenad med en viss osäkerhet. Under beredningen kan de andra medlemsstaterna också stanna för andra sätt att genomföra förordningen. 

Sverige har inlett det nationella genomförandet av förordningen genom att tillsätta en särskild utredare. Utredaren ska bl.a. föreslå vilka myndigheter som ska utses till nationellt behöriga myndigheter och anmälande myndigheter samt vilken myndighet som ska ha rollen som gemensam kontaktpunkt. Preliminära myndighet är den svenska dataombudsmannen, dvs. Integritetsskyddsmyndigheten, samt Myndigheten för digital förvaltning, Digg, och Post- och telestyrelsen. Dessutom ska utredaren analysera och lägga fram förslag om användning av det nationella handlingsutrymme som förordningen tillåter samt till bestämmelser om påföljderna enligt förordningen. Utredaren ska lämna en slutrapport om uppdraget senast den 30 september 2025.  

Danmark har planerat att Digitaliseringsstyrelsen ska vara gemensam kontaktpunkt. Förbjudna AI-användningsområden ska övervakas av Digitaliseringsstyrelsen och den danska dataombudsmannen, dvs. Datatilsynet, tillsammans. När det gäller system med hög risk är tillsynen mera decentraliserad och sköts av flera nationella behöriga myndigheter. Digitaliseringsstyrelsen ska också preliminärt ansvara för tillsynen över transparensskyldigheterna enligt förordningen. Danmarks strävan är att involvera intressentgrupperna i det nationella genomförandet av förordningen. Avsikten är att intressentgrupperna ska bilda t.ex. separata arbetsgrupper som deltar i utarbetandet av anvisningar som gäller förordningen.  

Nederländerna har preliminär planerat att marknadskontrollen enligt förordningen ska fördelas mellan marknadskontrollmyndigheten, den sektorspecifika stödmyndigheten och den samordnande myndigheten. Som marknadskontrollmyndighet för förbjudna AI-användningsområden och system för biometrisk identifiering enligt artikel 5 i förordningen har föreslagits den nederländska dataskyddsmyndigheten.  

Som marknadskontrollmyndighet för produkter med hög risk som omfattas av avsnitt A i bilaga I till förordningen fungerar beroende på användningsfallet myndigheten för digital infrastruktur, arbetarskyddsmyndigheten, inspektionsmyndigheten för hälsa och ungdomsarbete, säkerhetsmyndigheten för livsmedel och konsumentprodukter samt inspektionsmyndigheten för miljö och transporter. Samordnande myndighet i fråga om bilaga I är myndigheten för digital infrastruktur. 

Som marknadskontrollmyndighet för produkter med hög risk som omfattas av bilaga III till förordningen har i största delen av användningsfallen föreslagits dataskyddsmyndigheten. Som marknadskontrollmyndighet för kritisk infrastruktur ska beroende på sektorn fungera antingen myndigheten för digital infrastruktur eller miljö- och transportmyndigheten. I fråga om utvärdering av kreditbetyg eller kreditvärdighet samt riskbedömning och prissättning av sjuk- och livförsäkringar ska marknadstillsynen eventuellt fördelas mellan finansmyndigheten och den nederländska centralbanken.  

Tysklands myndigheter som ska utöva tillsyn enligt AI-förordningen är ännu inte kända. Enligt vissa källor kommer man eventuellt att utse förbundsstatens ackrediteringsorgan (Deutsche Akkreditierungsstelle) till anmälande myndighet och förbundsstatens byrå för el-, gas-, telekommunikations-, post- och järnvägsnätet (Bundesnetzagentur) till marknadskontrollmyndighet.  

Spanien har som första land i unionen inrättat en myndighet för tillsyn över artificiell intelligens, AESIA (The Spanish Agency for the Supervision of Artificial Intelligence). AESIA arbetar under statssekretariatet för digitalisering och artificiell intelligens SEDIA (State Secretariat for Digitalization and Artificial Intelligence) inom Spaniens ministerium för näringar och digital förändring (The Ministry of Economic Affairs and Digital Transformation). Enligt preliminära uppgifter ska AESIA svara för marknadskontrolluppgifter och den gemensamma kontaktpunktens uppgifter. Till AESIA:s uppgifter hör inspektioner, verifieringar och påförande av sanktioner i fall som hänför sig till säker och ansvarsfull användning av AI-system. AESIA:s uppgifter begränsar dock inte behörigheten för andra myndigheter med ansvar för hälsa och arbetsliv.  

12.3.1  Användning av det nationella handlingsutrymmet

Artikel 99.8 ger medlemsstaterna nationellt handlingsutrymme i fråga om i vilken utsträckning påföljdsavgifter kan påföras myndigheter eller organ inom den offentliga förvaltningen. Artikel 99.9 ger medlemsstaterna nationellt handlingsutrymme i fråga om huruvida det är de behöriga nationella domstolarna eller andra organ som ansvarar för påförandet av påföljdsavgifter. Enligt bestämmelsen ska tillämpningen av sådana bestämmelser dock ha motsvarande verkan i dessa medlemsstater. Med stöd av artikel 99.10 i tillämpas lämpliga rättssäkerhetsgarantier i enlighet med nationell rätt, bland annat effektiva rättsmedel och rättssäkra förfaranden, på utövandet av befogenheterna att påföra sanktioner. 

Enligt den föreslagna lagen finns bestämmelser om marknadskontrollmyndigheternas befogenheter vid tillsyn i marknadskontrollförordningen, i 3 kap. i marknadskontrollagen samt i den nationella lagstiftning som utfärdats med stöd av unionens harmoniseringslagstiftning, som ingår i den förteckning som finns i avsnitt A i bilaga I till AI-förordningen. Sådana tillsynsåtgärder kan också påföras på grund av överträdelse av AI-förordningen. Att tillsynsåtgärder enligt till exempel marknadskontrollagen tillämpas på system för artificiell intelligens innebär bland annat att marknadskontrollmyndigheten har rätt att ta produkter för undersökning, meddela förbud mot produkter eller bestämma att ett system för artificiell intelligens ska förstöras när förutsättningarna i lagen uppfylls.  

Enligt förslaget ska lagen om tillsyn över vissa system för artificiell intelligens fogas till tillämpningsområdet för marknadskontrollagen. Förslaget grundar sig till denna del på artikel 74.1 i AI-förordningen med stöd av vilken marknadskontrollförordningen tillämpas på de system för artificiell intelligens som omfattas av förordningens tillämpningsområde. Tillsynsåtgärderna enligt 3 kap. i marknadskontrollagen baserar sig på marknadskontrollförordningen. Därmed ger tillämpningen av tillsynsåtgärderna enligt 3 kap. i marknadskontrollagen inget nationellt handlingsutrymme i fråga om de system för artificiell intelligens som omfattas av AI-förordningens tillämpningsområde. Med stöd av artikel 2.1 i marknadskontrollförordningen tillämpas förordningen på produkter som omfattas av den harmoniserade unionslagstiftning som förtecknas i avsnitt A i bilaga I till förordningen, i den mån det inte finns några särskilda bestämmelser med samma syfte i harmoniserad unionslagstiftning som på ett mer specifikt sätt reglerar särskilda aspekter av marknadskontroll och tillsyn. Enligt artikel 14 i marknadskontrollförordningen föreskrivs det dessutom att medlemsstaterna ska tilldela sina marknadskontrollmyndigheter de befogenheter för marknadskontroll, utredning och tillsyn som behövs för tillämpningen av förordningen och för tillämpningen av harmoniserad unionslagstiftning. I regel finns bestämmelser om de nationella marknadskontrollmyndigheternas befogenheter i lagen om marknadskontroll, men det har dessutom stiftats speciallagstiftning om genomförandet av marknadskontrollen på det sätt som konstateras ovan. Av de skäl som nämns ovan finns det inte heller något nationellt handlingsutrymme vid tillämpningen av annan nationell lagstiftning som nämns i 12 § i den föreslagna lagen. 

12.3.2  Förutsättningar för administrativa påföljder

De grundläggande fri- och rättigheterna och de allmänna förutsättningarna för inskränkningar i dem ska beaktas också i bestämmelser som gäller administrativa påföljder. Sådana är bland annat kraven på lagstiftningens acceptabilitet och proportionalitet. I enlighet med kravet på att inskränkningar i de grundläggande fri- och rättigheterna ska vara acceptabla, ska ett vägande samhälleligt behov av och en med tanke på de grundläggande fri-och rättigheterna godtagbar grund för de administrativa sanktionerna kunna påvisas (GrUU 23/1997 rd, s. 2/II).  

I sak jämställer grundlagsutskottet en ekonomisk påföljd av straffkaraktär med en straffrättslig påföljd (GrUU 14/2013 rd, GrUU 17/2012 rd, GrUU 9/2012 rd, s. 2/I, GrUU 55/2005 rd, s. 2/I, och GrUU 32/2005 rd, s. 2/II). I sitt utlåtande om det ursprungliga förslaget till förordning om artificiell intelligens (GrUU 37/2021 rd) ansåg grundlagsutskottet att de allmänna grunderna för administrativa påföljder i enlighet med 2 § 3 mom. i grundlagen ska fastställas i lag, eftersom det innebär utövning av offentlig makt att påföra sådana avgifter. Utskottet har också ansett att det är fråga om betydande utövning av offentlig makt. Det ska lagstiftas exakt och tydligt om grunderna för betalningsskyldigheten och avgiftens storlek, den betalningsskyldiges rättsskydd och verkställigheten av avgiften (se till exempel GrUU 14/2013 rd, s. 2, GrUU 34/2012 rd, s. 3, GrUU 17/2012 rd, s. 5). Även om kravet på exakthet enligt den straffrättsliga legalitetsprincipen i grundlagens 8 § inte direkt gäller administrativa påföljder kan det allmänna kravet på exakthet ändå inte förbigås i ett sammanhang som detta (GrUU 43/2013 rd, GrUU 14/2013 rd, GrUU 32/2012 rd och de utlåtanden som nämns där). Bestämmelserna ska också uppfylla kraven i fråga om rätt proportion på påföljderna (se exempelvis GrUU 28/2014 rd och GrUU 15/2014 rd). 

I propositionen föreslås det bestämmelser om de tillsynsbefogenheter, påföljdsavgifter samt vite och hot om tvångsutförande som orsakas av brott mot AI-förordningen som marknadskontrollmyndigheten kan förena ett förbud eller åläggande med. Dessa påföljder är av betydelse med tanke på egendomsskyddet enligt 15 § 1 mom. i grundlagen och näringsfriheten enligt 18 § i den lagen. Att tillsynsåtgärder enligt lagstiftningen om marknadskontroll tillämpas på system för artificiell intelligens innebär bland annat att marknadskontrollmyndigheten har rätt att ta produkter för undersökning, meddela förbud mot produkter eller bestämma att ett system för artificiell intelligens ska förstöras när förutsättningarna i lagen uppfylls. De föreslagna bestämmelserna innebär begränsningar i aktörens möjligheter att släppa ut produkter på marknaden samt begränsningar i bestämmanderätten över produkten för den som äger produkten. De ekonomiska påföljder som åläggs för brott mot förordningen innebär ett ingrepp i egendomsskyddet. I föregående stycke beskrivs det nationella handlingsutrymmet när det gäller tillämpningen av tillsynsbefogenheter, påföljder och påföljdsavgifter som kan bestämmas för överträdelse av förordningen om artificiell intelligens. 

De tillsynsbefogenheter, viten och hot om tvångsutförande som föreslås i propositionen ska betraktas som administrativa påföljder och påföljdsavgiften å sin sida som en administrativ påföljd av straffkaraktär. Eftersom administrativa påföljdsavgifter i enlighet med AI-förordningen i sak är jämställbara med straffrättsliga påföljder, ska de uppfylla de krav på regleringen som gäller sådana påföljder. I det följande bedöms de föreslagna bestämmelserna om påföljder med tanke på kraven på bestämmelser om administrativa påföljder. 

Godtagbarhet . Syftet med AI-förordningen är att säkerställa att de system för artificiell intelligens som släpps ut på marknaden eller tas i bruk inom EU inte äventyrar människors hälsa, säkerhet eller grundläggande fri- och rättigheter. Bestämmelserna om sanktioner (påföljder) i förordningen har positiv inverkan med tanke på tillgodoseendet av flera grundläggande fri- och rättigheter, såsom jämlikheten enligt 6 § och rätten till en sund miljö enligt 20 § 2 mom. Genom bestämmelserna om påföljder vill man säkerställa att aktörerna iakttar kraven i förordningen. Genom bestämmelserna strävar man också allmänt efter att förhindra och förebygga att lagstridiga system för artificiell intelligens släpps ut på marknaden eller tas i bruk samt förhindra att redan lagstridig verksamhet fortsätter eller upprepas och att den eventuellt har negativa konsekvenser för de grundläggande fri- och rättigheterna. Därmed kan bestämmelserna om påföljder anses vara godtagbara med tanke på målen.  

Exakthet . I propositionen föreslås det bestämmelser om grunderna för skyldigheten att betala påföljdsavgift och påföljdsavgiftens storlek, den avgiftsskyldiges rättsskydd och grunderna för verkställigheten av lagen på det sätt som grundlagsutskottet förutsätter. I samband med reformen av de grundläggande fri- och rättigheterna betonade grundlagsutskottet att målet bör vara att de kedjor av bemyndiganden som blankobestämmelserna kräver är exakt angivna och att de materiella bestämmelser som utgör ett villkor för straffbarhet avfattas med den exakthet som krävs av straffbestämmelser och att det av det normkomplex som bestämmelserna ingår i framgår att brott mot dem är straffbart. Också i den bestämmelse som inbegriper själva kriminaliseringen bör det finnas en saklig beskrivning av den gärning som avses bli kriminaliserad (GrUB 25/1994 rd).  

I den föreslagna lagen preciseras för vilka brott mot bestämmelserna i AI-förordningen en påföljdsavgift kan påföras och den innehåller en saklig beskrivning av de gärningar som ska leda till påföljder. De föreslagna bestämmelserna uppfyller därmed kriterierna för blankoreglering. Påföljdsavgifter kan inte påföras för överträdelser av sådana bestämmelser i AI-förordningen vilkas bedömning innehåller öppna eller kvalitativa kriterier. Påföljdsavgifter kan därför inte påföras för brott mot alla de skyldigheter som avses i artikel 99.3–99.5 i förordningen om artificiell intelligens, utan endast för brott mot de skyldigheter om vilka det föreskrivs tillräckligt exakt i AI-förordningen. 

I den föreslagna lagen föreskrivs det om påföljdsavgiftens maximibelopp samt om en helhetsbedömning av påförande av påföljdsavgift genom en hänvisning till de relevanta bestämmelserna i AI-förordningen.  

Enligt grundlagsutskottet ska förvaltningsmyndigheterna vid behandlingen av ett ärende iaktta bestämmelserna i 21 § 2 mom. i grundlagen om garantier för god förvaltning, som enligt bestämmelsen är bland annat offentlighet vid handläggningen, rätten att bli hörd, rätten att få motiverade beslut och rätten att söka ändring. Enligt i grundlagen ska garantier för en god förvaltning tryggas genom lag. En aktör som påförs påföljdsavgift ska ha möjlighet att söka ändring i beslutet om påförande av påföljdsavgift genom besvär i den ordning som föreskrivs i lagen om rättegång i förvaltningsärenden, vilket tryggar den betalningsskyldiges rättsskydd. Dessutom ska aktören ha rätt att söka ändring i beslut som gäller tillsynsåtgärder enligt lagstiftningen om marknadskontroll samt i beslut som gäller föreläggande och utdömande av vite och beslut som gäller föreläggande och verkställighet av hot om tvångsutgörande. Vid bestämmande av påföljder enligt den föreslagna lagen iakttas de garantier för god förvaltning som avses i grundlagen.  

Bestämmelser om grunderna för verkställigheten av påföljdsavgiften ska utfärdas genom en utvidgning av tillämpningsområdet för lagen om verkställighet av böter. Ett beslut om påföljdsavgift är verkställbart först när det har vunnit laga kraft, vilket har bedömts ge adekvata garantier för att rättssäkerheten blivit tillgodosedd på tillbörligt sätt (GrUU 4/2004 rd, s. 7–8). 

Grundlagsutskottet har ansett det vara av betydelse att påföljdsbestämmelserna är exakta och noggrant avgränsade vid bedömningen av begränsningar i näringsfriheten (se i fråga om förslaget till AI-förordning grundlagsutskottets betänkande om U-skrivelsen GrUU 37/2021, motivering endast på finska, PeVL 37/2021 rd; s. 12). På de grunder som angetts ovan kan de föreslagna påföljdsbestämmelserna anses uppfylla förutsättningarna för exakthet och noggrann avgränsning på ett sådant sätt att bestämmelserna inte medför oskäliga inskränkningar i näringsfriheten.  

Proportionalitet . Grundlagsutskottet lyfter i sitt utlåtande fram (GrUU 12/2019 rd) att bestämmelser som är relevanta för proportionaliteten gäller sanktionernas storlek men också de omständigheter som ska beaktas vid fastställandet av påföljdens storlek och avstående från påföljdsavgift. Utskottet anser att det också med tanke på proportionaliteten är motiverat att det i bestämmelserna om påföljdsavgifter uttryckligen framgår att påförande av påföljdsavgifter är beroende av prövning. Utskottet har också i sin praxis förutsatt att myndighetens prövning vid beslut om att inte påföra påföljdsavgift ska vara bunden till prövning, det vill säga att avgiften inte ska påföras om de villkor som anges i bestämmelsen är uppfyllda (GrUU 46/2017 rd, punkt 17 med hänvisningar). När det gäller bedömningen av påföljdsavgifternas proportionalitet har grundlagsutskottet fäst uppmärksamhet vid fall där påföljdsavgift påförs fysiska personer (i fråga om förslaget till AI-förordning se GrUU 37/2021 rd, i övrigt GrUU 15/2016, s. 5).  

I propositionen föreslås det bestämmelser om myndigheternas möjlighet att i stället för att påföra påföljdsavgift använda tillsynsbefogenheter enligt 12 § i den föreslagna lagen. Dessa tillsynsbefogenheter kan till exempel omfatta alternativet att uppmana aktören att vidta korrigerande åtgärder. Med stöd av den föreslagna lagen kan ett förbud eller föreläggande som meddelats av en myndighet förenas med vite eller hot om tvångsutförande med stöd av till exempel 28 § i marknadskontrollagen eller 45 § i lagen om medicinska produkter. Föreläggandet av sådana tillsynsåtgärder gör det möjligt att påföra lindrigare sanktioner än påföljdsavgift för smärre överträdelser av förordningen. 

I propositionen föreslås det bestämmelser om påföljdsavgifternas maximibelopp i euro genom en hänvisning till bestämmelserna i AI-förordningen. Bestämmelserna om påföljdsavgifternas maximibelopp i AI-förordningen står i proportion till klandervärdheten i gärningen och till det rättsobjekt som ska skyddas. Exempelvis för brott mot förbjudna användningsområden för artificiell intelligens är det möjligt att påföra högre påföljdsavgifter än för andra brott mot bestämmelserna i förordningen, eftersom det är fråga om brott mot de bestämmelser som ingriper mest i människors grundläggande fri- och rättigheter. Om påföljdsavgift åläggs ett företag, ska påföljdsavgiftens maximibelopp ställas i relation till företagets omsättning enligt artiklarna 99.3–99.6 i förordningen om artificiell intelligens. Med stöd av artikel 2.10 i AI-förordningen ska påföljderna inte hänföra sig till skyldigheterna för sådana tillhandahållare som är fysiska personer och som använder AI-system inom ramen för rent personlig icke-yrkesmässig verksamhet. I övrigt kan en fysisk person vara en sådan aktör som avses i förordningen till exempel i rollen som leverantör eller tillhandahållare av ett system för artificiell intelligens, varvid påföljder på grund av brott mot förordningen kan tillämpas på aktören i fråga.  

De maximibelopp för påföljdsavgifterna som anges i AI-förordningen kan stiga till tiotals miljoner euro eller till och med mera, och syftet med dem är att förebygga överträdelser av i synnerhet stora multinationella företag och att förenhetliga tillämpningspraxisen på EU-nivå. Eftersom skyldigheterna enligt AI-förordningen emellertid gäller mycket olika användningsfall och situationer och kan gälla också mindre aktörer eller fysiska personer, är det med tanke på proportionaliteten motiverat att tillsynsmyndigheterna har handlingsutrymme att gradera påföljdsavgiftens belopp från fall till fall. Bestämmelsen i artikel 99.7 i AI-förordningen om den helhetsbedömning som ska göras vid påförande av påföljdsavgift tryggar också detta. Med stöd av artikel 99.6 i förordningen ska små och medelstora företag och uppstartsföretag kunna påföras lägre påföljdsavgifter än andra företag.  

Påförandet av en administrativa påföljdsavgift och påföljdsavgiftens storlek grundar sig alltså på en helhetsbedömning enligt artikel 99.7 i AI-förordningen De omständigheter som nämns i den bestämmelsen omfattar bland annat överträdelsens art, svårighetsgrad och varaktighet samt om överträdelsen skett med uppsåt eller genom oaktsamhet. I den föreslagna lagen finns en bestämmelse om förutsättningarna för att påföljdsavgift inte ska påföras. Det framgår att påförandet av påföljdsavgift föreslås vara beroende av prövning. Utifrån de grunder som anförts ovan kan de föreslagna påföljdsbestämmelserna anses vara proportionellt avvägda.  

Skydd mot självinkriminering, oskuldspresumtion och förbud mot dubbel straffbarhet . Grundlagsutskottet har ansett att påförande av påföljdsavgifter av straffkaraktär hör till området för bestämmelserna om åtal för brott i artikel 6 i människorättskonventionen, och bestämmelserna om bland annat oskuldspresumtion och förbud mot självinkriminering i artikel 6.2 i människorättskonventionen gäller också det föreslagna administrativa påföljdssystemet (se GrUU 9/2018 rd). Påförandet av de påföljdsavgifter som föreslås i denna proposition behöver därmed bedömas med tanke på skyddet för självinkriminering och oskuldspresumtionen. Dessutom är förbudet mot dubbel straffbarhet av betydelse vid bedömningen av administrativa påföljder av straffkaraktär, inbegripet påföljdsavgifter.  

I den föreslagna lagen specificeras i fråga om påförande av påföljdsavgifter de situationer som skyddet mot självinkriminering gäller. Dessutom får vite inte förenas med informationsskyldigheten enligt 27 § 2 mom. i den föreslagna lagen, om det finns skäl att misstänka en person för brott och uppgifterna hänför sig till det ärende som brottsmisstanken gäller. 

Lagförslaget är inte problematiskt med tanke på oskuldspresumtionen, eftersom det inte föreskrivs om ansvar oberoende av vållande i lagen (se GrUU 9/2018 rd, s. 4). Enligt den föreslagna lagen är en förutsättning för påförande av påföljdsavgift alltid att aktören har brutit mot AI-förordningen till följd av uppsåtlighet eller oaktsamhet. 

I artikel 4 i tilläggsprotokoll 7 till den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna fastställs ett förbud mot dubbel bestraffning, vilket innebär att ingen får lagföras eller straffas på nytt i en brottmålsrättegång i samma stat för ett brott för vilket han redan blivit slutligt frikänd eller dömd i enlighet med lagen och rättegångsordningen i denna stat. Bestämmelser om förbud mot att åtala och bestraffa någon två gånger för samma brott finns också i artikel 50 i Europeiska unionens stadga om de grundläggande rättigheterna. Enligt EU-domstolen är möjligheten att kumulera förfaranden och påföljder förenlig med det väsentliga innehållet i artikel 50 i stadgan under förutsättning att en och samma nationella lagstiftning inte gör det möjligt att lagföra och bestraffa samma gärningar som samma brott eller för att uppnå samma mål, utan endast föreskriver en möjlighet att kumulera förfaranden och påföljder enligt olika lagstiftningar (mål C-117/20 bpost, punkt 43 och mål C‑412/21 Dual Prod SRL, punkt 63). Principen i fråga har beaktats i det föreslagna 24 § 2 mom. genom att påföljdsavgift inte får påföras den som är misstänkt för samma gärning i en förundersökning eller åtalsprövning eller i ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom. Förbudet mot dubbel straffbarhet gäller också som en allmän rättsprincip. Genom samarbete mellan myndigheterna kan man också försöka förhindra att det eventuellt döms ut dubbla straff för samma gärning. 

Påföljder för myndigheterna . Enligt regeringens proposition med förslag till dataskyddslag är en administrativ påföljdsavgift som påförs en myndighet ett förfarande som är främmande för vår allmänna rättsordning. Rättsordningen ställer andra specialkrav på den offentliga förvaltningen, vilka för sin del motiverar denna regleringslösning (RP 14/2018 rd, s. 19). Grundlagsutskottet har ansett att en utvidgning av bestämmelserna om påföljdsavgift till myndighetsverksamhet inte är problemfri i konstitutionellt hänseende (se GrUU 14/2018 rd, GrUU 13/2023 rd). Grundlagsutskottet har i sin bedömning av statsrådets skrivelse om förslaget till förordning om artificiell intelligens betonat betydelsen av att man i fråga om administrativa påföljder bör sträva efter att säkerställa ett tillräckligt nationellt handlingsutrymme, särskilt för att beakta att myndigheterna i Finland inte kan påföras administrativa påföljdsavgifter, eftersom endast straffrättsliga påföljder kan påföras myndigheterna (se GrUU 37/2021 rd, stycke 40). I 24 § 3 mom. i propositionen föreskrivs det därmed om de offentligrättsliga aktörer som inte kan påföras påföljdsavgifter.  

På de grunder som anförts ovan anses de konstitutionella förutsättningarna för administrativa påföljder vara uppfyllda. 

12.3.3  Påföljdsavgiftsnämnden

Grundlagsutskottet har i sin bedömning av allmänna dataskyddsförordningen ansett att rättsskyddsintresset i fråga om de administrativa påföljdsavgifterna är starkt accentuerat med hänsyn till att påföljdsavgiften är sträng och har karaktär av sanktion. I den bedömningen var det fråga om mycket stora administrativa påföljdsavgifter som allmänna dataskyddsförordningen föreslogs tillåta och som inte enligt utskottet kunde jämställas med de administrativa påföljder som myndigheterna i det rådande läget kunde bestämma. Grundlagsutskottet har förutsatt att förfarandet för att påföra påföljdsavgifter är behörigt, oavhängigt och rättvist på det sätt som krävs i 21 § i grundlagen och att detta säkerställs genom lagstiftning om att ett kollegialt organ är behörigt att fatta beslut om att påföra påföljdsavgift. I Finland har man strävat efter att undvika att överföra beslutanderätten till en domstol för att sökande av ändring inte ska omfatta bara en instans. För att behörigheten ska anförtros en förvaltningsmyndighet talar också det faktum att påföljdsavgift i princip alltid påförs i förvaltningsförfarande. (GrUU 14/2018 rd) 

Beslutsförfarandena i anslutning till påföljder har inom EU-rätten i princip överlåtits till den nationella prövningsrätten, förutsatt att likvärdighets- och effektivitetsprincipen uppfylls (C-201/02 Delena Wells, punkt 67). De behöriga myndigheternas verksamhet har dock vanligen varit föremål för olika allmänna krav i EU-rätten. Enligt artikel 70 i AI-förordningen ska medlemsstaterna säkerställa att de behöriga myndigheterna har tillräckliga tekniska och ekonomiska resurser samt personalresurser, och infrastruktur för att effektivt kunna utföra sina uppgifter enligt förordningen. Enligt artikel 70 ska de nationella behöriga myndigheterna dessutom utöva sina befogenheter på ett oberoende, objektivt och opartiskt sätt för att säkerställa objektiviteten i sina aktiviteter och uppgifter. Dessa krav ska beaktas i bestämmelserna om påföljdsavgiftsnämnden, även om en del av dem uppfylls redan genom den allmänna förvaltningslagstiftningen och myndigheternas självständiga ställning. Utgångspunkten är dock att bestämmelserna om påföljdsavgiftsnämnden framför allt ska grunda sig på nationella krav som följer av statsförfattningen. 

Enligt propositionen ska påföljdsavgifter på mer än 100 000 euro påföras av den nya påföljdsavgiftsnämnd för tillsynen över system för artificiell intelligens som ska inrättas i anslutning till Transport- och kommunikationsverket. På detta sätt säkerställs det att ett kollegialt organ av rättssäkerhetsskäl svarar för påförandet av betydande påföljdsavgifter. Detta främjar också likabehandlingen av de aktörer som påförs påföljdsavgifter. Att det är ett kollegialt organ tryggar för sin del att det vid påförandet av påföljdsavgifter är möjligt att utnyttja sektorspecifik sakkunskap hos flera olika myndigheter. Enligt förslaget ska påföljdsavgiftsnämnden bestå av de i lagen specificerade ledamöter och ersättare som marknadskontrollmyndigheterna utsett och som ska sköta uppgiften som bisyssla och självständigt, inte som företrädare för den myndighet som utsett dem. Transport- och kommunikationsverket ska utse nämndens ordförande och dataombudsmannens vice ordförande, vilket för sin del säkerställer att nämnden har omfattande sakkunskap, särskilt till den del bestämmelserna överlappar bestämmelserna om dataskydd. Dessutom krävs det att ordföranden och vice ordföranden för nämnden ska ha sådan tillräcklig juridisk sakkunskap som uppdraget förutsätter. I den föreslagna lagen föreskrivs det också om kraven på sakkunskap och kompetens hos nämnden och på dess beslutsfattande samt om en oberoende och opartisk ställning.  

Grundlagsutskottet har i sin utlåtandepraxis ansett det problematiskt att ett ärende i enskilda fall kan avgöras utan föredragning (GrUU 14/2018 rd, s. 18–19). Därför ska påföljdsavgiftsnämnden enligt den föreslagna lagen alltid fatta sitt beslut efter föredragning. Den marknadskontrollmyndighet till vars tillsynsområde överträdelsen hör svarar för utredningen av påförandet av påföljdsavgift och ärendet föredras för nämnden för påföljdsavgift av en av marknadskontrollmyndighetens tjänstemän för beslut, med undantag för Tullen. I fråga om anmälda organ ska påföljdsavgiftsärendet utredas och påföljdsavgiften påföras av den anmälande myndighet som ursprungligen anmält organet för bedömning av överensstämmelse till kommissionen som anmält organ. 

På de grunder som nämnts kan de föreslagna bestämmelserna om påföljdsavgiftsnämnden anses uppfylla kraven i 21 § i grundlagen.